processus suspect: mousepad9.exe

[youben12]

salut tous le monde
j'ai telecharger un serial number d'un site russe et j'y trouver un install.exe. des lors, mon naviguateur n'arrête pas d'ouvrir des sites non desirés. lorsque j'ai fais ctrl+alt+supp j'ai trouvé un processus suspect : mousepad.exe j'ai vu ds qlq sites que c'est un le trojan winsysban ou sses variabtes. est-ce-vrais? si oui comment s'en debarraser?
et merci d'avnace.

[eser]

Salut
Tout d'abord, félicitations pour ta franchise

Essaie ça => http://www.infos-du-net.com/forum/19945 ... -hijacthis

[youben12]

merci
j' essayerai

[youben12]

salut j'ai essayé tous ce qui ds le lien que tu m'as donné. voila le log de hijackthis. SVP y-a-t-il qulq chose d'inquitant:

Logfile of HijackThis v1.99.1
Scan saved at 00:03:19, on 10/04/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\HHVcdV7Sys\VC7SecS.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Documents and Settings\youssef\Bureau\HijackThis.exe

F2 - REG:system.ini: Shell=explorer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: Add to Link Commander collection - C:\Program Files\Link Commander\add_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Afficher Link Commander - {0492EC8E-CBD1-4303-BC8B-74A8EC2CED09} - C:\PROGRA~1\LINKCO~1\LCLaunch.dll
O9 - Extra 'Tools' menuitem: Afficher Link Commander - {0492EC8E-CBD1-4303-BC8B-74A8EC2CED09} - C:\PROGRA~1\LINKCO~1\LCLaunch.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.menara.ma
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: URL - C:\WINDOWS\system32\i0060adsed060.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Program Files\HHVcdV7Sys\VC7SecS.exe

merci de votre aide

[youben12]

Malheureusement le problème perssite.
pour plus d'informations voila le site duquel j'ai telecharger le mechant fichier qui a fait ça "h**p://www.cracks.spb.ru/" j'ai telecharger le serial number de winrar et j'ai trouveé deux fichier un .exe et l'autre txt j'ai cliqué sur install.exe et le mal commence.
maintenant le naviguateur n'arrête pas d'ouvrir des sites web tous seul. exemples des sites : h**p://www.uniqueoffer-s.com/muon.html" "h**p://www.epilot.com/searchresultsSBS.asp?Aff ... C616C3A192}"
et plein d'autres.
autre anomalie, la fenêtre de firefox devient petite (restauré) dés qu'un site suspect s'ouvre.
svp heeeeeeeeeeeeeeelp

[eser]

Re
Est-ce que tu as essayé des logiciels comme Spybot ou Adaware ?
Et un antivirus ?

[Titus]

Salut,

Je ne veux pas paraître moralisateur, mais ce sont des sites dont il faut se méfier, les sites russes sont particulièrement dangereux.

Bien sûr, maintenant, le mal est fait, mais il ne faut jamais double cliquer sur un EXE (SYS ou COM, et n'oublions pas les BAT).

Ce qui m'étonne, c'est qu'Ewido n'ait pas réagi, ainsi que ton antivirus et ton firewall.

Quoi!, tu n'as pas de firewall sur des sites pareils?!?! Et Internet Explorer n'est pas à jour?!?!

Ma conclusion, tu l'as cherché, je n'irais pas jusqu'à dire que c'est bien fait (je ne suis pas si pourri), mais c'est de l'inconscience pure et simple, et la seule raison pour laquelle je ne t'envoie pas ballader, c'est ton honnêteté (pour ma part, je ne crois pas que j'aurai avoué une bourde pareille).

Passons au log, je n'y vois que trois choses à effacer (et je crois que la première pourrait-être responsable):

Logfile of HijackThis v1.99.1
Scan saved at 00:03:19, on 10/04/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\HHVcdV7Sys\VC7SecS.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Documents and Settings\youssef\Bureau\HijackThis.exe

F2 - REG:system.ini: Shell=explorer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: Add to Link Commander collection - C:\Program Files\Link Commander\add_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Afficher Link Commander - {0492EC8E-CBD1-4303-BC8B-74A8EC2CED09} - C:\PROGRA~1\LINKCO~1\LCLaunch.dll
O9 - Extra 'Tools' menuitem: Afficher Link Commander - {0492EC8E-CBD1-4303-BC8B-74A8EC2CED09} - C:\PROGRA~1\LINKCO~1\LCLaunch.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.menara.ma
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: URL - C:\WINDOWS\system32\i0060adsed060.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Program Files\HHVcdV7Sys\VC7SecS.exe

Efface ce qui est en gras, tu emploies vraiment ce qui est en italiques? Si non, supprime-les aussi

[eser]

Salut Titus

Que penses-tu de cette ligne => O14 - IERESET.INF: START_PAGE_URL=http://www.menara.ma ?

[alain51]

Salut,

Cette ligne est bonne, Youben doit être abonné à l'adsl chez eux. (maroc telecom)

[eser]

Chui nul, j'ai même pas pensé à ça

Bien vu alain

[youben12]

merci de votre reponse
c'est vraiment honteux de ma part d'avoir cliquer sur un exe.
j'ai utiliser spybot
mais tjr rien.

[freezzz]

slt

Va en mode sans échec, de là tu vides ton cache d’internet explorer, coockies, les fichiers, l’historique. Dans page de démarrage tu mets vierge.
Dans l’onglet sécurité tu clics sur chaque icône et tu clics en bas ‘niveau par défaut’

Tu vas dans ton registre Windows, démarrer>exécuter>tu tapes regedit
Et tu vas sur cette page pour contrôler chaque clé (Bon courage)
http://www.zebulon.fr/articles/base-de-registre-4.php

Tu vas dans démarrer> exécuter>tu tapes msconfig
Ici dans services, tu coches en bas ‘masquer tous………’ tu désactives tous sauf antivirus et firewall tu fais la même chose dans démarrage.