Probleme Spyware + MSN

[Red XIII]

Lut All

Voila, j'ai un probleme depuis quelque temps avec un spyware qui m'ouvre tout le temps des fenetres intempestives sous IE. Spybot détecte bien le spyware (Winantivirus200), mais, même quand il le supprime il revient, et cela même en mode sans échec.

Autre probleme: J'ai un spyware se nommant ffudf.exe, je l'ai viré manuellement en mode sans échec, en le renommant au préalable en .txt, mais il revient quand même au démarrage de l'ordinateur.

Depuis ces deux problemes, je n'arrive plus à démarrer MSN 7.5 (il bloque lors du chargement de ma liste de contacts). Je n'arrive pas non plus à le désinstaller (bloquage), ni à le réinstaller.

Voici mon log hijackthis

Citation:

: Logfile of HijackThis v1.99.1
Scan saved at 16:12:31, on 26/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\Svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\System32\RunDLL32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\ffudf.exe
C:\Documents and Settings\Ivan\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kzdh.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hao123.union123.com/index.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://65.243.103.56/trafc-2/rfe.php...affid=862&lid=
R3 - Default URLSearchHook is missing
O3 - Toolbar: 842a - {DFCB34B6-902D-426E-AE2B-1B294AE19F4F} - C:\WINDOWS\System32\4610ntos.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\mgugloea.dll",setvm
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Dispatcher] C:\WINDOWS\dispatcher.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ²Æ¸»Í¨ - {C1F0024B-8278-4999-B7E6-2718426D9FE6} - C:\Program Files\²Æ¸»Í¨\fcai.dll (file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Computer Storage (iSPONER) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

Merci d'avance à ceux qui pourront m'aider (jack, Kira )

Red

[kira]

Pas très propre ce log.

A fixer en "Sans-Echec" avec "Restauration Système" désactivée.

C:\WINDOWS\System32\ffudf.exe-->"CopyLock" ou "KillBox" si nécessaire.
O3 - Toolbar: 842a - {DFCB34B6-902D-426E-AE2B-1B294AE19F4F} - C:\WINDOWS\System32\4610ntos.dll
O4 - HKLM\..\Run: [Dispatcher] C:\WINDOWS\dispatcher.exe
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\mgugloea.dll",setvm
O4 - HKLM\..\Run: [Dispatcher] C:\WINDOWS\dispatcher.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O23 - Service: Computer Storage (iSPONER) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXE (file missing)

Au choix:
*O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
Supprime les drivers installés par "Starforce".

[Red XIII]

Merci de ta réponse, mais que veut dire " CopyLock " ? et " Killbox ? "

[kira]

"CopyLock" et "KillBox" sont deux logs permettant de supprimer des fichiers récalcitrants avant que "Windows" ne démarre.

[Red XIII]

Bon, j'ai testé tes deux logs, impossible de virer

Citation:

C:\WINDOWS\System32\ffudf.exe-->"CopyLock" ou "KillBox" si nécessaire.

Les deux logs me disent qu'il a été viré, mais apres le reboot, le fichier est toujours la... Que faire ?

Pour celui ci

Citation:

O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing

Il me dit d'utiliser Spybot, je l'ai donc fait,mais je sais pas vraiment si ça a servi à quelque chose... POur les fenêtres intempestives, pareil, toujours le même probleme c'est toujours la...

je désespere... Merci d'avance

[iochy]

salut moi perso quand ca devient le bordel comme ca je fais la meilleur facon pour etre sur de suprimer ce genre de me....
un bon format C: et une reinstal en bonne et due forme

[jack]

On dit en bonne et due forme iochy

Moi perso j'essaierais d'install Kaspersky mais bon

[iochy]

merci the jack je vais arreter de faire trop de chose en meme temps
heureusement que tu me surveille chutt personne a rien vu

[kira]

1/Aucun programme suspect lancé au démarrage?-->Utilise "TuneUp Startup Manager" pour supprimer les entrées malsaines.
2/Ton PC est connecté au net dès que tu l'allumes?Si oui,débranche ton "Modem" ou ta "BOX".
3/Supprime tout programme jugé "étrange".Regarde dans ton "Program Files".Puis désinstalle ou supprime le dossier(bourrin),puis nettoie ta "BDR" toujours avec "TuneUp".
4/Reposte ton rapport "Hijack-This" pour voir où on en est.
5/"Spybot" te détecte encore des bébêtes?"Ad-Aware"?Essaie "SpySweeper".
6/Comme the-jack l'a dit,un coup d'"Avast,Antivir,..." ou autre ne serait pas de refus.

[Red XIII]

Citation:

1/Aucun programme suspect lancé au démarrage?-->Utilise "TuneUp Startup Manager" pour supprimer les entrées malsaines.

Je ne peux pas utiliser le log car il me manque ce fichier! hpqra08.exe, ou puis-je le trouver ?

Citation:

2/Ton PC est connecté au net dès que tu l'allumes?Si oui,débranche ton "Modem" ou ta "BOX".

Oui, je vais donc débrancher ma box. Une question vite fait: Il y a normalement un firewall intégré à la freebox lorsqu'elle est en mode routeur non ? Ou faut t-il activer quelque chose d'autre ? car depuis que j'avais désactivé mon firewall Logiciel, j'ai eu des problemes j'ai l'impression.

Citation:

3/Supprime tout programme jugé "étrange".Regarde dans ton "Program Files".Puis désinstalle ou supprime le dossier(bourrin),puis nettoie ta "BDR" toujours avec "TuneUp".

Rien ne semble étrange