Metagames - Probleme Spyware + MSN

Metagames (https://www.metagames-eu.com/forums/)

- Informatique (https://www.metagames-eu.com/forums/informatique/)

- - Probleme Spyware + MSN (https://www.metagames-eu.com/forums/informatique/probleme-spyware-msn-83103.html)

Probleme Spyware + MSN

Lut All

Voila, j'ai un probleme depuis quelque temps avec un spyware qui m'ouvre tout le temps des fenetres intempestives sous IE. Spybot détecte bien le spyware (Winantivirus200), mais, même quand il le supprime il revient, et cela même en mode sans échec.

Autre probleme: J'ai un spyware se nommant ffudf.exe, je l'ai viré manuellement en mode sans échec, en le renommant au préalable en .txt, mais il revient quand même au démarrage de l'ordinateur.

Depuis ces deux problemes, je n'arrive plus à démarrer MSN 7.5 (il bloque lors du chargement de ma liste de contacts). Je n'arrive pas non plus à le désinstaller (bloquage), ni à le réinstaller.

Voici mon log hijackthis

Citation:

: Logfile of HijackThis v1.99.1
Scan saved at 16:12:31, on 26/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\Svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\System32\RunDLL32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\ffudf.exe
C:\Documents and Settings\Ivan\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kzdh.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hao123.union123.com/index.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://65.243.103.56/trafc-2/rfe.php...affid=862&lid=
R3 - Default URLSearchHook is missing
O3 - Toolbar: 842a - {DFCB34B6-902D-426E-AE2B-1B294AE19F4F} - C:\WINDOWS\System32\4610ntos.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\mgugloea.dll",setvm
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Dispatcher] C:\WINDOWS\dispatcher.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ²Æ¸»Í¨ - {C1F0024B-8278-4999-B7E6-2718426D9FE6} - C:\Program Files\²Æ¸»Í¨\fcai.dll (file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Computer Storage (iSPONER) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

Merci d'avance à ceux qui pourront m'aider (jack, Kira :))

Red

Pas très propre ce log.:D

A fixer en "Sans-Echec" avec "Restauration Système" désactivée.

C:\WINDOWS\System32\ffudf.exe-->"CopyLock" ou "KillBox" si nécessaire.
O3 - Toolbar: 842a - {DFCB34B6-902D-426E-AE2B-1B294AE19F4F} - C:\WINDOWS\System32\4610ntos.dll
O4 - HKLM\..\Run: [Dispatcher] C:\WINDOWS\dispatcher.exe
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\mgugloea.dll",setvm
O4 - HKLM\..\Run: [Dispatcher] C:\WINDOWS\dispatcher.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O23 - Service: Computer Storage (iSPONER) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXE (file missing)

Au choix:
*O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
Supprime les drivers installés par "Starforce".

:hello:

Merci de ta réponse, mais que veut dire " CopyLock " ? et " Killbox ? "

"CopyLock" et "KillBox" sont deux logs permettant de supprimer des fichiers récalcitrants avant que "Windows" ne démarre.:drink:

:hello:

Bon, j'ai testé tes deux logs, impossible de virer

Citation:

C:\WINDOWS\System32\ffudf.exe-->"CopyLock" ou "KillBox" si nécessaire.

Les deux logs me disent qu'il a été viré, mais apres le reboot, le fichier est toujours la... Que faire ?

Pour celui ci

Citation:

O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing

Il me dit d'utiliser Spybot, je l'ai donc fait,mais je sais pas vraiment si ça a servi à quelque chose... POur les fenêtres intempestives, pareil, toujours le même probleme c'est toujours la...

je désespere... Merci d'avance

salut moi perso quand ca devient le bordel comme ca je fais la meilleur facon pour etre sur de suprimer ce genre de me....
un bon format C: et une reinstal en bonne et due forme

On dit en bonne et due forme iochy :D

Moi perso j'essaierais d'install Kaspersky mais bon :lol:

:snif: merci the jack je vais arreter de faire trop de chose en meme temps
heureusement que tu me surveille chutt personne a rien vu ;)

1/Aucun programme suspect lancé au démarrage?-->Utilise "TuneUp Startup Manager" pour supprimer les entrées malsaines.
2/Ton PC est connecté au net dès que tu l'allumes?Si oui,débranche ton "Modem" ou ta "BOX".
3/Supprime tout programme jugé "étrange".Regarde dans ton "Program Files".Puis désinstalle ou supprime le dossier(bourrin),puis nettoie ta "BDR" toujours avec "TuneUp".
4/Reposte ton rapport "Hijack-This" pour voir où on en est.
5/"Spybot" te détecte encore des bébêtes?"Ad-Aware"?Essaie "SpySweeper".
6/Comme the-jack l'a dit,un coup d'"Avast,Antivir,..." ou autre ne serait pas de refus.

;)

Citation:

1/Aucun programme suspect lancé au démarrage?-->Utilise "TuneUp Startup Manager" pour supprimer les entrées malsaines.

Je ne peux pas utiliser le log car il me manque ce fichier! hpqra08.exe, ou puis-je le trouver ?

Citation:

2/Ton PC est connecté au net dès que tu l'allumes?Si oui,débranche ton "Modem" ou ta "BOX".

Oui, je vais donc débrancher ma box. Une question vite fait: Il y a normalement un firewall intégré à la freebox lorsqu'elle est en mode routeur non ? Ou faut t-il activer quelque chose d'autre ? car depuis que j'avais désactivé mon firewall Logiciel, j'ai eu des problemes j'ai l'impression.

Citation:

3/Supprime tout programme jugé "étrange".Regarde dans ton "Program Files".Puis désinstalle ou supprime le dossier(bourrin),puis nettoie ta "BDR" toujours avec "TuneUp".

Rien ne semble étrange

Le firewall materiel des routeurs NAT fonctionne sur le principe suivant : Tout ce qui n'a pas été expressément demandé de l'interieur du réseau privé hors regles de ports spécifiques est inconditionellement jeté à la benne :D

Par contre si un Trojan est sur ton PC ça ne fonctionne plus car c'est ton PC qui a demandé la communication frauduleuse par son intermediaire ...

Donc faut avoir un bon AV quand même :drink:

Je vais prendre Kasperky pour voir... Et je vais désinstaller cette daube d'AVG

Bon, j'ai vraiment fait tout ce que vous avez dit, à la lettre... Rine à faire, le ffudf.exe est toujours la... Mon probleme MSN toujours présent également, et je ne peux toujours pas installer certains logiciels (Kasperky par exemple)...

Vous avez d'autres idées ?

Mon Log

Citation:

Logfile of HijackThis v1.99.1
Scan saved at 16:42:45, on 27/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\ffudf.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\System32\RunDLL32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\RUNDLL32.EXE
M:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.7255.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hao123.union123.com/index.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://89.188.16.16/trafc-2/rfe.php?...%2F%2F%2FC:%2F
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\WINDO WS\LMWkX.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinMsg] C:\WINDOWS\winmsgr.exe
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\qcqiohgd.dll",setvm
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ²Æ¸»Í¨ - {C1F0024B-8278-4999-B7E6-2718426D9FE6} - C:\Program Files\²Æ¸»Í¨\fcai.dll (file missing) (HKCU)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Computer Storage (iSPONER) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Unknown owner - C:\WINDOWS\system32\sfrem01.exe (file missing)
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Bizarre,les lignes que tu étais censé fixer sont toujours là.La restauration système était bien désactivée?

"SpySweeper" t'as testé?

Fais une analyse "Online":
http://webscanner.kaspersky.fr/

Essaye de supprimer les méchants fichiers via un "Live-CD".

Au pire-->Formatage.:drink:

EDT:J'oubliais.Si tu as un soft de "TV" par internet,désinstalle-le.

Franchement, ça commence à m'énerver donc je vais formater... Oui, j'avais bien désactiver la restauration systeme , et j'ai tenté SpySweeper également...

Je vais donc formater, c'est bien mieux... Une question... J'ai C: ainsi qu'une partition K: sur mon ordi...

Y a t-il possibilité de formater la partition C: et garder la K: tel quel ?

Ben avec un CD de Windows en bonne et due forme oui suffit de supprimer que la premiere part et pas la deuxieme :D

Salut, j'arrive un peu tard...
Pas pour donner une solution malheureusement.

Mais Kira tu as dis :

Citation:

Supprime les drivers installés par "Starforce".

T'es sûr que c'est nuisible?:heu:
Car pour lancer Trackmania Nations sous Vista, il m'a demander de les mettre à jour justement.

Citation:

T'es sûr que c'est nuisible?

Non,ce n'est pas nuisible.On peut bien évidemment laisser cette entrée.Mais comme tu le sais sûrement,"Starforce" et les PC,ça fait 4.:drink:

Lol en effet:D

Merci pour la précision:jap: