Spyprotector/spycanneronline aide svp !! Résolu/Fermé

Question

Bonjour,

Tout d'abord merci à ceux qui prendront le temps de lire ce topic !

Ensuite je me permet de vous exposer un probléme, je m'occupe actuellement d'un pc pc infecté par spyprotector et peut être plus.

Symptômes:
connexion et pc lents
publicités dont les plus importantes sont spyprotector & spyonline scan quelques chose de ce genre.

A priori, je pensez pouvoir m'en débarasser mais cela se revéle plus difficle que prévu pour les raisons suivants

add-aware, a²squared, spybot, rogue remover, nod32 & pleins d'autres programmes ne détecte que des cookies & rien d'autre & encore le dossier cookies n'existes pas

quand on ouvre internet, si je tape des antivirus trop connu, type antivir ou même hijakcthis (qui l'a maurais bien aider) cet s*** reconnait le nom et eteint automatiquement tout mes fenêtres.

J'ai regarder les processus ils n'y à rien qui semble louches, je les vérifier un à un à la lettre pret tout connus & correct.
programme au démarrage ok.

seule solution le mode sans échec pour executer antivir ou hijack & la il me reponds qu'ils peut pas les installer, si je les execute sous windows normal, bien le virus empéche leurs execution.

J'ai detecté deux dossiers portant les noms spy .... que j'ai finalement su supprimer ainsi qu'une paire de clefs de registre. mais rien ne change.

Résultats, programmes connu (hijack, antivir...) inexecutable ni en normal ni en ss echec. actuellement aucun antivirus n'arrive à détecter cette cochonnerie, même spyprotector remove (je crois) ne vois rien.

le pc contient des dossiers importants qui ne peuvent être supprimer, tout sauvegarde en cas de formatage serais trés risqué.

ma demande est donc assez simple, je dispose d'une clef usb, sur lequel je vais y mettre des programme qui pourront éventuellement détecter le/les virus, mais ils part d'un pc sain à un infecter, donc hors de question de lui faire 36 voyages.

pouvais vous me donner des conseils à imprimer, un max de choses sur spy protector et autres spy ....
Ainsi que me faire un inventaire des programmes qui vont m'être ou peuvent être utiles

A l'heure actuelle, je posséde:

Hijackthis (non executable)
a² squared (inefficace)
spyprotector remove (inefficace)
ccleaner
nod 32 (non executable)
antivir (non executable)
smitfraudfix (inefficace)
add-aware (inefficace)
 spybot (inefficace)
 rogue remover (inefficace)

autres programmes conseils , tout est bienvenue svp, ne passez pas au dessus de ce topic

un grand merci !!!!!!

jacques.gache · Answer

bonjour, peux tu passer toolbar S&d et poster le rapport , Merci

Télécharge ToolBar-S&D ( Merci à Eric_71, Angeldark, Sham_Rock et XmichouX )
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 

Lances l'installation du programme en exécutant le fichier téléchargé. 
Double-clique maintenant sur le raccourci de Toolbar-S&D. 
Sélectionnes la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. 
Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. 
Postes le rapport généré. (C:\TB.txt)

Sanely · Answer

sincerement merci davoir preter attention a ce topic jacques.gache
helas ce logiciels fais partie de ceux essayers ainsi que navilog & autres, mais rien pas de detections jusque qques cookies pour l'un des deux
jai aussi enlever un trojan dans la volée, mes ces logiciels ont déjà était essayer.

j'espére au moins arriver tôt ou tard à faire aller hijack, car à partir de la ca m'aiderais vraiment, cest le logiciel qui se revelerais vraiment efficace.

si tu as d'autres suggestions, je suis preneuse. encore merci

jacques.gache · Answer

je vais te donner un outil que tu renommeras au monent de l'installation , mais avant essais avec celui intégré dans windows il n'est pas très puissant car il n'a des mises à jour qu'une fois par mois mais si tes salopperie sont pas de nouvel génération il devrais en virer tu le passe et si il trouve quelque chose tu vires et tu essais un des outils moi je te préparrer la procédure pour la suite, la tu vas sur démarrer et exécuter et tu tapes mrt et ok et tu suis ce qui est demander tu fais un rapide car sinon t'ai pas coucher mais bon c'est toi qui vois

Sanely · Answer

il sagit de lanti malware à windows, jai essayer également marche pas ='(

jacques.gache · Answer

et as tu essayé de faire une restauration système en redémarrant en mode sans echec à une date et heure avant le problème tu fais ce qui suis 

Rends toi sur ce site : 
http://www.zonavirus.com/datos/descargas/95/elibagla.asp 
tout en bas de cette page tu trouveras un outil 
à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour) 
A l'apparition la fenêtre choisis bien le bureau comme lieu d'enregistrement
dans Nom du fichier du efface celui qui y est et  tu mets jacques.exe
puis cliques sur Enregistrer
il va se télécharger sur le bureau 
 
ensuite double-clic sur jacques.exe 
>laisse la case "eliminar ficheros automaticamente" coché 
>clique sur"explorar" 
>laisse-le travailler 

passes le 2 fois en mode normal et 2 fois en mode sans echec

Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter. 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 

Relance elibagla " jacques.exe " et fais le tourner 2 fois. 

>poste le rapport final qui sera dans c:\infosat.txt

Sanely · Answer

je ferais mais jai droit à un aller avec la clef, jai trop peur d'infecter mon propre pc, ceci dit je garde ce tuto et je vais prendre le logiciel.
restauration de systéme , n'a pas été activé car à la base la personne ne se sert pas trés peu du net (hélas elle aurait du prevoir le pret =/)


je me permet de te demander d'autres choses:
dans spybot, il y a deux ctfmon.exe, je viens de me rendre compte que l'un est en minuscule et l'autre en majuscule
je trouve ca louche quand penses tu ?

jacques.gache · Answer

je ferais mais jai droit à un aller avec la clef, jai trop peur d'infecter mon propre pc tu n'est pas connecter avec le pc infecté ???
sinon je viens de controler dans mon gestionnaire des taches j'en est qu'un dans mes pocessus CTFMON.EXE en majuscule

Sanely · Answer

J'aimerais également un coup de main sur ces incohérences dans le registre que me signale spybot

./VIA Audio Driver
cnmgr32.exe
MsoHtmed.exe
None
setup.exe
Table30.exe
Winnt32

tous se trouve dans le même chemin

H-L-M/software/microsoft/windows/currentversion/apppaths

c'est aussi dans ce chemin que j'avais supprimer les deux clef au nom de spy protector au début.

peut tu m'en dire plus sur ces clefs ? merci

Sanely · Answer

non ce n'est pas mon pc on me l'a apporté, donc plus de connexion internet, il est là mon souci
de toute facon si le programme à le malheur de connaitre le programme il empeche tte recherche sur le net ainsi que son lancement

exemple au départ qd il ete encore connecté qd je taper hijackthis ou antivir et que je faisait rechercher il m'eteigner toutes mes fenetres alors que s des recherches typiques et banales il me laisser faire

tu peux jeter un regards sur les clefs registres au dessus stp ?

jacques.gache · Answer

désolé mais la sur le registre je manque de maitrise si tu pouvais connecter le pc infecter par cable " car pas sur que la wifi passe"  et le démarrer en mode sans echec avec prise en charge du réseau tu pourrais télécharger et passer certain outil comme malwarebytes en autre

Sanely · Answer

le pc posséde déjà malwarebytes grace à une premiére clef & en rapide rien & la je fais poussé pour la premiére fois mais il est long ceci dit pour le moment rien (15 min)

en ce qui concerne la connexion pas possible
de plus chez le proprio j'ai tenté un mode sans echec avec prise en charge du réseau et cela ne fonctionner pas, internet n'était pas disponible ?!?

jacques.gache · Answer

si tu passes malwarebytes sans qu'il est pu faire la mise à jour il ne trouvera pas les nouvel infection il faut l'intaller sur un pc avec connection pour qu'elle puisse se faire , la si tu ne peux rien faire je suis désolé mais il ne reste plus que le formatage et installation de windows si il y as des document perso important sauvegarde et réinstalles

Sanely · Answer

a l'heure actuelle impossible de connecter 

petit question:
par contre la pub spyprotector .... ne se lancais que pdt connexion ou brancher
donc pas de fenêtre qui apparait tant que pas brancher ou connecter, 

cela signifie t-il que l'infection se trouve dans explorer ? ou que je ne peux le trouver tant que pas de connexions car inactif ?

jacques.gache · Answer

as tu ccleaner sur le pc ??

jacques.gache · Answer

bon tu ne m'as pas répondu mais comme dans ton message de demande d'aide tu le dis je te propose de l'ouvrir et sur outil , démarrage tu déactivves toutes les lignes qui ne sont pas util perso moi sur le 5 pc de la maison je n'ai que le strict minimum un trucs ctfmon.exe de toute façon si tu le déactives il revient , ccleaner car en automatique chez moi une toolbar google , et mon antivirus AVG et rien d'autre donc ma proposition est que tu déactive tous ce qui n'est pas de sécurité ce qui pourrais peut être mettre certaine infection en arrêt et te permettre de paser certains outils tu déactives tu redémarres le pc et tu passes ccleaner sur le registre et tu regardes si tu peux passer certain outils , sinon tu peux aussi regarder dans les processus et depuis ton pc qui fonctionne chercher sur google à qui il appartiennent et si pas bon les arrêter, je te mets une capture d'écran de démarrage de mon pc tu pourras voir que j'ai presque rien et pas de problème

Sanely · Answer

escuse moi 

je n'est rien déjà

a squared
teatimer (spybot)
msg
ctfmon
sun java
et adobe reader

rien d'autre

et jai toujours une fenetre internet qui tente de souvrir, sauf quelle naffiche rien puisque pas de connexion, j'en deduits que cete s** nest pas partie encore

Sanely · Answer

je me permet, je viens de reussir a analyser le pc avec spyhunter security suite qui me detecte 135 fichiers infecté par

Rogue Xp policy antivirus
zlob.vidéo acces
et zlob trojan

le pc netant pas connecter a intenet je ne peut menregistrer et donc pas possible de desinfecter (chemins dacces non donnés=()

vu les images trouvé sur intenet je peux dire que xp policy et bien un des pub qu'il maffiche

connais tu des programmes autres spyhunter security suite capable de supprimer ces infections ?

mercii

jacques.gache · Answer

Bonjour,
tu devrais télécharger elibagla et le renommer au moment du téléchargement et le transférer sur l'autre pc avec ta clés et le passer 2 fois en mode normal et 2 fois en mode sans echec et puis tu peux aussi passer findykill je te met la procédure pour 



Télécharge FindyKill (de Chiquitine29) merci à lui de nous l'avoir remis en ligne !!!

.Fais un double-clique  sur le lien

.enregistres le sur bureau 

.Lances l'installation avec les paramètres par défaut 

.Double-clique sur le raccourci FindyKill sur ton bureau 

.Au menu principal, choisis l'option 1 (Recherche) 

.Postes le rapport C:/FindyKill.txt (il est sauvegardé à la racine du disque dur) 

tutoriel si besoin: https://www.malekal.com/tutorial-findykill/




*****************************************************************************



NETTOYAGE

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir 


.Relances FindyKill 

.Cette fois, choisis l'option 2 (Suppression) au menu principal 

.Il y aura 2 redémarrages, laisses le travailler  jusqu'à l'apparition du message "nettoyage effectué" ! 

.Ensuite postes le rapport C:/FindyKill.txt (il est sauvegardé à la racine du disque dur) 

Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides 



***************************************************************************************


POUR LE DESINSTALLER



.Relances FindyKill 

.Cette fois, choisis l'option  3. Desinstaller FindyKill

Sanely · Answer

alors je viens t'annoncer que j'ai réussis à désinfecter le pc.
pour ceux qui en été au même stade, (exécution des porgrammes impossible & fenêtre temporaire)
je repasse ce soir y mettre toute mes démarches,en éspérant qu'elles serviront.

jacques.gache · Answer

bonsoir , ok cela pourra aider d'autre personnes , Merci @+

Sanely · Answer

Donc ...

j'ai effectuer une analyse avec mc cafee, qui m'a signalé deux fichiers infecter type :

exemple:
{c6ac97f102ec9e6bf340867810f026ad}
et {-c6ac97f102ec9e6bf340867810f026ad}

comboxfix (il me semble que ce soit lui) de son coté me trouvé des dll mais ne les supprimer pas

exemple: c:\windows\SYSTEM32\caeedcaafbaef.dll
c:\windows\SYSTEM32\vumer.dll

ainsi que des fichiers de registre.


De là j'ai cherché & j'ai finis par appliqué, l'une des méthodes que malekal 


j'ai créer un fichier Créé un nouveau document texte avec dedans les lignes suivantes :

files to kill:
c:\windows\SYSTEM32\caeedcaafbaef.dll
c:\windows\SYSTEM32\vumer.dll
c:\windows\SYSTEM32\c6ac97f102ec9e6bf340867810f026ad.sys


driver::
c6ac97f102ec9e6bf340867810f026ad
-c6ac97f102ec9e6bf340867810f026ad.sys

file::
c:\windows\SYSTEM32\xxxxxxxxxxxxxxxxxxxx.sys
c:\windows\SYSTEM32\-xxxxxxxxxxxxxxx.sys
c:\windows\SYSTEM32\xxxxxx.dll

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\xxxxx\xxxxxx\xxxxx]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\xxxxx\xxxxxx\xxxxx]

j'ai enregistrer en .CFScript

puis j'ai glisser le doc sur combofix, qui a finis par supprimer les fichiers indésirables.

j'ai redemarrer le pc, et à l'ouverture j'ai pu éxécuter Hijackthis & autres logiciels.
Aprés analyse, j'ai supprimer plusieurs lignes indésirables, j'ai profité pour supprimer les Domains dans le registre, ainsi que tout ce porter le nom de spy, spy protector et autres s*** qui correspondait aux virus.

Le plus gros aillant été effectué, j'ai remis le pc sur le net, installé sur le pc antivir que j'ai mis à jour et installer zone alarm.

Antivir s'est chargé de débarrasser de deux derniers fichiers infectés par un trojan.


Du coup un grand merci à Malekal qui m'a aidé sans le vouloir & à toi pour avoir suivi et tenté de m'apporter une solution.



---------------------------------------------------------------------------------------------------------------------------------------------------
Ne tenter pas d'interpréter les choses par vous même aux risques de tout planté, Laissez faire les Habitués.