le fab Posté 28 Juillet 2005 Posté 28 Juillet 2005 merci pour les 2 premières, pas de soucis : en fait, c'est mon abrutti de traducteur (je suis au kasakhstan en ce moment) qui est allé sur des site des culs (francais, parait que c'est plus sofistiqué) et qui m'a ramener cette saloperie de instant access ... du coup, pour bien qu'on se comprenne, j'ai créer une page WEB (locale) au démarrage d'IE affichant en gros, gras et rouge "PLEASE NO VIRTUAL SEX ON THIS COMPUTER" bref, c'est pas méchant pour la 3eme trace que tu sites, je vais voir .. sinon, je viens de me refaire un cycle complet des scans, en virant tout dans le HiJAck, j'ai reperer 3 lig.ne plus que suspects à mes yeux : O16 - DPF: {1604DF98-D1A5-44FE-844A-98D6FD0518D0} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1060_XP.cab O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/s...svc32_EN_XP.cab O16 - DPF: {FA83E942-B796-46DE-9155-1632ECC5473B} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1061_XP.cab (pour moi EDGACCESS_xxxx.dll est accossiée à instant access) j'en ai fais du HiJack-parmentier j'ai egalement virer toutes les references à ces 2 dll dans ma base de registre et comme je ne trouve pas ces dll dans mon system, je m'apprete a telecharger les 2 exe sité dans l'article et les virer si je les trouve (surement du 16bits) bon, je bourrine pas mal, mais ca commence à me les briser menu une autre chose qui me chagrine dans le HiJack, c'est : MSIE: Unable to get Internet Explorer version! comme je l'ai écris plus haut, j'avais esseyé de le désinstanller et y avait un libellé bizarre (je ne l'ai pas noté) sur sa procedure de désinstall maintenant il n'apparait plus dans le désinstallateur, mais est tjrs là je me demande s'il n'est pas infecté est ce possible ?? que faire ?? merci beaucoup en tout cas
le fab Posté 28 Juillet 2005 Posté 28 Juillet 2005 bon, bein pas de dll 16 bits ... tant mieux je vais éviter de toucher IE et refaire un scan total d'ici 2/3 jours et si tout va bien, je relancerai IE pour valider que IE ai été ou non infecter directement en tout cas, merci bien pour l'aide trouvé sur ce site dire qu'il y a 5 jours je ne connaissais meme pas l'existance des spywares ... et maintenant je les tues et meme j'en installe volontairement pour espionner mon interprete
Dan Posté 28 Juillet 2005 Posté 28 Juillet 2005 dire qu'il y a 5 jours je ne connaissais meme pas l'existance des spywares ... et maintenant je les tues et meme j'en installe volontairement pour espionner mon interprete Tu peux probablement aller sur le site de Microsoft en lançant "Windows Update". Cela te mettra peut-être une nouvelle version de I.E. ... si tu n'as pas fait de mise à jour depuis longtemps.
le fab Posté 28 Juillet 2005 Posté 28 Juillet 2005 mon windows update service est unavailable sur le site j'ai esseyé de télécharger IE6, mais en l'installant il me dit qu'une version plusrecente est déjà installée et donc je n'ai pas le droit de l'installer je pense que je ferai le check decrit ci dessus pour etre sur pis on verra
Aztek Posté 2 Octobre 2005 Posté 2 Octobre 2005 Je viens de découvrir ce site super en cherchant instant access, car ça faity pas mal de temps qu'il squatte mon ordinateur ... J'ai AVG free edition, qui me trouve à chaque ananlyse au moins 10 fichiers dans inter temporary file ( 5 fichier *.dll et 5 fichier *.cab et tous des egdaccess_XP_2014 ou a peu pres), et spybot me trouvé instant access, et magic control agent, et MFC application : Connect MFC application : - C:\Program Files\Instant Access\ - HKEY_USERS\S-1-5-21-842925246-113007714-725345543-1004\Software\EGDHTML et les autres je sé plus, alors je vais suivre ce que vous avez dit au debut, avec en mode sans echec, mais je viens vous demander quelquechose, quand je fais msconfig il y a demarrage et rundll32 de coché, et comme commandes : rundll32.exe EGACCESS_1063,InstantAccess Voilà, et faut il decocher ça aussi apres avoire mis en resauration système decochée ?
Dan Posté 3 Octobre 2005 Posté 3 Octobre 2005 Salut Aztek et bienvenue à bord du Hub !, Oui, il faut le décocher... InstantAcess ne doit pas démarrer. Dan
Guest Crazy Posté 5 Octobre 2005 Posté 5 Octobre 2005 Pour éradiquer les Trojan et autres saloperies de sa bécane, il y a un truc super : SPYBOT (logiciel gratuit). Sa config de base est bonne pour une première utilisation. Ensuite on peut améliorer... Pour le télécharger : http://www.spybot.info/fr/mirrors/index.html Normalement, ça vire à peu près tout ! (lire la doc avant) Alain
Aztek Posté 9 Octobre 2005 Posté 9 Octobre 2005 (modifié) euh, j'ai téléchargé Dll compare comme dit dans un de vos articles et j'ai fait le log et je vais vous le mettre, : * DLLCompare Log version(1.0.0.127) Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ C:\WINDOWS\SYSTEM32\cdplay~1.man Thu 8 Jul 2004 15:07:06 A..HR 749 0,73 K C:\WINDOWS\SYSTEM32\cha×nes.scf Fri 30 Aug 2002 14:00:00 A.... 75 0,07 K C:\WINDOWS\SYSTEM32\cmmgr32.gid Thu 22 Sep 2005 20:13:12 A..H. 8 628 8,43 K C:\WINDOWS\SYSTEM32\logonu~1.man Thu 8 Jul 2004 15:07:12 A..HR 488 0,48 K C:\WINDOWS\SYSTEM32\mscloc~1.dll Sun 9 Oct 2005 11:41:12 A.... 20 992 20,50 K C:\WINDOWS\SYSTEM32\msploc~1.dll Wed 14 Sep 2005 21:05:36 A.... 20 992 20,50 K C:\WINDOWS\SYSTEM32\ncpacp~1.man Thu 8 Jul 2004 15:07:06 A..HR 749 0,73 K C:\WINDOWS\SYSTEM32\nwccpl~1.man Thu 8 Jul 2004 15:07:06 A..HR 749 0,73 K C:\WINDOWS\SYSTEM32\sapicp~1.man Thu 8 Jul 2004 15:07:06 A..HR 749 0,73 K C:\WINDOWS\SYSTEM32\window~1.man Thu 8 Jul 2004 15:07:12 A..HR 488 0,48 K C:\WINDOWS\SYSTEM32\wuaucp~1.man Thu 8 Jul 2004 15:07:06 A..HR 749 0,73 K C:\WINDOWS\SYSTEM32\zsqkpo~1.dat Sun 9 Oct 2005 13:31:16 A.... 10 135 9,89 K C:\WINDOWS\SYSTEM32\zsqkpo~1.exe Wed 14 Sep 2005 21:05:34 A.... 236 084 230,55 K C:\WINDOWS\SYSTEM32\zsqkpo~2.dat Fri 7 Oct 2005 20:36:22 A.... 61 653 60,21 K C:\WINDOWS\SYSTEM32\zsqkpo~3.dat Sun 9 Oct 2005 13:31:04 A.... 1 785 1,74 K ________________________________________________ 2 163 items found: 2 115 files (8 H/S), 48 directories (2 H/S). Total of file sizes: 391 725 760 bytes 373,58 M Administrator Account = Vrai --------------------End log--------------------- ça veut dire quoi tout ça ? (zsqkpo apparait dans mon msconfig dans les options demarrage) (est-ce que je dois supprimer zsqukpo avec killbox ? ou tout ça ?) Modifié 9 Octobre 2005 par Aztek
Guest Crazy Posté 9 Octobre 2005 Posté 9 Octobre 2005 Euh, ton log me laisse perplexe... 1) Des Fichiers cachés, OK mais aussi des Répertoires qui ont une extension.man (manual ?) pourquoi les cacher ??? 2) Des trucs de 2002 et de 2004 qui n'ont probablement rien à voir avec ton PB ? 3) cmmgr32.gid semblerait être un driver d'interface graphique (mais n'existe pas sur ma bécane en Win XP pro) 4) cdplay~1.man doit avoir rapport avec un soft de lecture de CD (realplayer ? mais n'existe pas sur ma bécane non plus) 5) Tous les répertoires, sauf un (488 o) ont une taille de 749 o. C'est à priori un peu louche (mais pas sûr)... Essaies tout de même Spubot S&D, Ad-Aware et aussi Microsoft Anti-Spyware... En général ça marche plutôt bien, si tu as vraiment une saloperie (ou plusieurs) ils devraient trouver. Alain
Aztek Posté 12 Octobre 2005 Posté 12 Octobre 2005 ok Je veux vous dire un truc qui m'a surpris : j'etais sur une page web, et d'habitude il y avait une image avec un lien autour et une image d'auberge, mais quand j'ai regardé plus tard, l'image s'était changé en une image avec des femmes et crazy girl d'ecrit à gauche. Ca fait bizarre quand meme, en plus le lien avait aussi changé... J'ai rechargé la page, tout est rentré dans l'ordre.. Est-ce que ça a déjà arrivé à qqn ça ??
Guest Crazy Posté 12 Octobre 2005 Posté 12 Octobre 2005 Je veux vous dire un truc qui m'a surpris : j'etais sur une page web, et d'habitude il y avait une image avec un lien autour et une image d'auberge, mais quand j'ai regardé plus tard, l'image s'était changé en une image avec des femmes et crazy girl d'ecrit à gauche. Ca fait bizarre quand meme, en plus le lien avait aussi changé... J'ai rechargé la page, tout est rentré dans l'ordre.. Est-ce que ça a déjà arrivé à qqn ça ?? <{POST_SNAPBACK}> Cela peut être dû soit à un hack temporaire de la part d'un "amuseur quelconque" soit à un abus de certains breuvages de ta part ! Bon, sans plaisanter, je te répondrais que oui, ça arrive. La plupart du temps sur des sites franchement douteux dont je ne te conseille pas la fréquentation, sauf pour tester l'efficacité de ton AntiVirus et de tes Anti-Spywares (en général, je fais mes tests persos sur des sites XXX - Si ça casse rien, c'est que mon système est bien blindé ! Sinon, je pleure, puis je répare...) Alain PS : Je n'aime pas trop que l'on usurpe mon identité. Dis moi sur quel site c'était...
Aztek Posté 27 Octobre 2005 Posté 27 Octobre 2005 J'ai téléhargé Startuprun pour voire les trus qui se lancent au demarrage de mon ordi, et y a des application bizarre, mais cntenues dans des documents avec pleins d'autres applicationa encore plus bizarres avec des droles de noms : C:\Documents and Settings\All Users\Application Data\Else Meet Eggs User\ qui contient : 2find.exe Gram Draw.exe intra vga.exe mapi license.exe seekinside.exe skip spam.exe trans win.exe five great.exe grid third.exe itch win.exe play meet.exe (nom donné en item par startuprun : eggsusereachtool c celui là qui est dans run du regitre systeme) sixth setup.exe storebone.exe vcpart.exe C:\Documents and Settings\Aline the Best\Application Data\Slow Debug Media\ qui y a pas qui se lancent mais c des noms bizarre alors je montre : srowqcma.exe utsvzzvx.exe nexwntcn.exe rffnreks.exe xqsotmvn.exe gqsorbyj.exe hboxznjr.exe tigqwxfz.exe qwqsanqj.exe gshdqbgn.exe kwqhwmzy.exe anvajval.exe rzzaeogk.exe nplackom.exe Obj 64.exe idolheartsendtrans >> mon traducteur dit ca veut dire avec des espaces : le coeur d'idole enverra la transaction furkgjnc.exe qnlqlzmd.exe bhsriwyp.exe tvfyznfb.exe dlilijpg.exe ppqjjgte.exe xhaljqhd.exe mxpcmfyw.exe zuseyekr.exe pdprugye.exe phqoiuck.exe eaqauyom.exe eorwydua.exe ecrolrxp.exe yohmpliq.exe SPAMBASHENC.exe C:\Documents and Settings\Aline the Best\Application Data\audio burn dupe\ qui contient seulement : testabout.exe : il se lance en browser helper objet . On dirait des noms de codes tous ça Aidez-moi svp !, si vous savez ç'est quoi tout ça !! Sinon, comme je l'avais dit dans le spost précédents, sur on ordi, il y a les crasy girls, instant access ...
Aztek Posté 29 Octobre 2005 Posté 29 Octobre 2005 Svp y a encore quelqu'un ? Sinon, peut-etre que je viens de trouver la suite du trojan sim css : le dossier navpam n'existe pas sur mon ordi Windows XP mais dans c:\windows\system32\ il y a les fichiers suivants : zsqkpobyn.DAT zsqkpobyn.exe zsqkpobyn_nav.DAT zsqkpobyn_navps.DAT ç'est le navps et le nav qui m'a attiré l'attention, et le nom est bizarre et ce programme m'a éttiré l'attention depuis longtemps, est-il primordial à l'ouverture de windows ? ( est-ce officiel ) je peux les supprimer ?
Aztek Posté 30 Octobre 2005 Posté 30 Octobre 2005 (modifié) C:\Documents and Settings\All Users\Application Data\Else Meet Eggs User\ qui contie J'ai été re-regarder et la clé a rechangé avec un nouveau programme dans le dossier qui a été recréé, donc, je suis sûr que çe dossier fait parti d'un spyware ou virus quelquonque, et pour slow debug media, microsoft antispyware vient de s'activer en mçeme temps qu'un objet de slow debug media ( obj 64 ) et un demandait de changer l'url et l'autre de bloquer ou non le programme.. Voilà, je redemarre mon ordi en mode sabeboot en non restaur systeme je upprime tout avec tous les anti-cochonnereies, et je supprimes les cles de demmarrages, ces dossier, l historique, les temporary internet files, et on verra si ça revient Modifié 31 Octobre 2005 par Aztek
Dan Posté 31 Octobre 2005 Posté 31 Octobre 2005 Salut Aztek, JE pense que la raison principale pour laquelle tu n'as pas de réponse est que ce virus devrait être éradiqué avec tous les antivirus récents ? Tu tournes lequel, et est-il à jour ? De plus, les anti-spywares tels que Ad-Aware, Spybot et autres viennent en général à bout de la plupart des spywares existants. As-tu essayé HiJackThis ? En général il donne lui aussi une liste complète de tous les programmes tournant sur ton PC.
Aztek Posté 1 Novembre 2005 Posté 1 Novembre 2005 J'ai AVG Free Edition, mais il ne detecte plus rien là, il detectait les edgaccess_....cab et les egdaccess.dll, mais windows anti spware les a supprimé aussi donc, l'antivirus n'est pas trop tourné vers les spyware.. Sinon, là j crois que le trojan/spyware simcss a été supprimé sur mon ordi merci à tous ( j'ai peut-etre encore quelques trucs à supprimer mais faut que je demandes le code de la session à ma soeur car il y a un mot de passe ) Sinon, merci dan, je vais installer HiJackThis pour le futur on sait jamais @+
Aztek Posté 1 Novembre 2005 Posté 1 Novembre 2005 Svp y a encore quelqu'un ? Sinon, peut-etre que je viens de trouver la suite du trojan sim css : le dossier navpam n'existe pas sur mon ordi Windows XP mais dans c:\windows\system32\ il y a les fichiers suivants : zsqkpobyn.DAT zsqkpobyn.exe zsqkpobyn_nav.DAT zsqkpobyn_navps.DAT ç'est le navps et le nav qui m'a attiré l'attention, et le nom est bizarre et ce programme m'a éttiré l'attention depuis longtemps, est-il primordial à l'ouverture de windows ? ( est-ce officiel ) je peux les supprimer ? <{POST_SNAPBACK}> EDIT : Je l'ai supprimé, et Windows demarre tout aussi bien, ce programme figurait dans ajout suppresion de programme donc il est arrivé après, donc, je peu dire oui c un spyware ...
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant