Sujet Précédent Sujet Suivant

Pb keylogger base de registre

hetmasteen Messages postés 99 Statut Membre -  
 Utilisateur anonyme -
Bonjour,
mon pc est sous windows XP
le logiciel "spy eraser" voit un keylogger systematiquement se reinstaller sur mon pc.
au niveau de :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NM\0000/capabilities
au niveau de "capabilities".
que dois je faire pour l'enlever definitivement
comment l'empecher de revenir ?
comment savoir d'ou il vient ?

merci de votre aide.
cordialement
A voir également:

70 réponses

Précédent
Réponse 41 / 70
hetmasteen Messages postés 99 Statut Membre 2
 
voilà :

http://www.cijoint.fr/cjlink.php?file=cj200906/cij8gFKr7I.txt
0
Réponse 42 / 70
Utilisateur anonyme
 
mais t u as une quarantaine sur spyEraser il me semble ?

pas moyen de l'y envoyer ?
0
Réponse 43 / 70
hetmasteen Messages postés 99 Statut Membre 2
 
si bien sur...
le mettre en quarantaine ou le supprimer...et il revient !
0
Réponse 44 / 70
Utilisateur anonyme
 
Télécharge OTL de OLDTimer

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant scan all users

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

Pour me le transmettre clique sur ce lien

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 70
hetmasteen Messages postés 99 Statut Membre 2
 
voilà

http://www.cijoint.fr/cjlink.php?file=cj200906/cijXwy3qbe.txt
0
Réponse 46 / 70
Utilisateur anonyme
 
Double clic sur OTL.exe pour le lancer.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes

:processes
exporer.exe
iexplore.exe
firefox.exe
msnmsgr.exe

:OTL
O3 - HKLM\..\Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - Reg Error: Key error. File not found
O3 - HKU\S-1-5-21-1813432427-2256547830-1315972992-1007\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [Protocole de transport compatible NWLink IPX/SPX/NetBIOS] - C:\WINDOWS\System32\nwprovau.dll (Microsoft Corporation)
O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/fhg.CAB (Reg Error: Key error.)
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (Reg Error: Key error.)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)

:services
aawservice
VC5SecS
VC5SecS

:files
C:\Documents and Settings\All Users\Application Data\TEMP:8AD27A66
C:\Documents and Settings\All Users\Application Data\TEMP:3A53B57E

:commands
[Purity]
[emptytemp]
[start explorer]
[reboot]


Clique sur RunFix pour lancer la suppression.

Poste le rapport.

==========
0
Réponse 47 / 70
hetmasteen Messages postés 99 Statut Membre 2
 
j'ai ce message au redemarrage (tres long)

windows sockets initialization failed

plus d'acces reseau non plus.
0
Réponse 48 / 70
Utilisateur anonyme
 
plus d'accès au réseau.....dans quel sens ?
0
Réponse 49 / 70
hetmasteen Messages postés 99 Statut Membre 2
 
je ne peux plus me conecter au net, ni en local sur mon autre pc (celui qui me sert à nos échanges...

dois je supprimer : ?
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
0
Réponse 50 / 70
Utilisateur anonyme
 
Fais un recherche de ce fichier stp :

C:\WINDOWS\System32\nwprovau.dll

tu n as pas de rapport ?
0
Réponse 51 / 70
hetmasteen Messages postés 99 Statut Membre 2
 
fichier trouvé.

si il y a un rapport mais impossible de l'envoyer puisque plus de connexion...
0
Réponse 52 / 70
Utilisateur anonyme
 
fichier trouvé à quel endroit stp ?

et combien ?
0
Réponse 53 / 70
hetmasteen Messages postés 99 Statut Membre 2
 
alors :

4 emplacements trouvés par le biais de la recherche :

c:\windows\system32
c:\windows\servicePackfiles\i386
c:\windows\system32\dllcache
c:\_OTL\Movedfiles\06112009_142104\windows\system32
0
Réponse 54 / 70
Utilisateur anonyme
 
envoie le rapport par ta cle usb stp
0
Réponse 55 / 70
hetmasteen Messages postés 99 Statut Membre 2
 
ok voilà:

========== PROCESSES ==========
No active process named exporer.exe was found!
No active process named iexplore.exe was found!
Process firefox.exe killed successfully!
No active process named msnmsgr.exe was found!
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{BA52B914-B692-46c4-B683-905236F6F655} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BA52B914-B692-46c4-B683-905236F6F655}\ not found.
Registry value HKEY_USERS\S-1-5-21-1813432427-2256547830-1315972992-1007\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004\ deleted successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\System32\nwprovau.dll
C:\WINDOWS\System32\nwprovau.dll NOT unregistered.
C:\WINDOWS\System32\nwprovau.dll moved successfully.
Starting removal of ActiveX control {00000055-9980-0010-8000-00AA00389B71}
C:\WINDOWS\Downloaded Program Files\fhg.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000055-9980-0010-8000-00AA00389B71}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000055-9980-0010-8000-00AA00389B71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{00000055-9980-0010-8000-00AA00389B71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000055-9980-0010-8000-00AA00389B71}\ not found.
Starting removal of ActiveX control {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21}\ not found.
File Animation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab not found.
Starting removal of ActiveX control DirectAnimation Java Classes
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes\DownloadInformation\\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\DirectAnimation Java Classes\ not found.
File oft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab not found.
Starting removal of ActiveX control Microsoft XML Parser for Java
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\DownloadInformation\\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Microsoft XML Parser for Java\ not found.
========== SERVICES/DRIVERS ==========

Service\Driver aawservice deleted successfully.

Service\Driver VC5SecS deleted successfully.
Service\Driver VC5SecS not found.
Service\Driver VC5SecS not found.
========== FILES ==========
File\Folder C:\Documents and Settings\All Users\Application Data\TEMP:8AD27A66 not found.
File\Folder C:\Documents and Settings\All Users\Application Data\TEMP:3A53B57E not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_578.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
Explorer started successfully

OTL by OldTimer - Version 2.1.1.0 log created on 06112009_142104

Files moved on Reboot...
File C:\WINDOWS\temp\Perflib_Perfdata_578.dat not found!

Registry entries deleted on Reboot...
0
Réponse 56 / 70
Utilisateur anonyme
 
c:\_OTL

zippe ce dossier puis envoie-le à http://www.cijoint.fr/ et donne le lien obtenu stp
0
Réponse 57 / 70
hetmasteen Messages postés 99 Statut Membre 2
 
http://www.cijoint.fr/cjlink.php?file=cj200906/cij1Kbx1Ga.zip

http://www.cijoint.fr/cjlink.php?file=cj200906/cijxdZnmZ0.zip
0
Réponse 58 / 70
Utilisateur anonyme
 
Récupère ceci :

http://sd-1.archive-host.com/membres/up/829108531491024/fhg.exe

et ceci :

http://sd-1.archive-host.com/membres/up/829108531491024/nwprovau.exe

double clic dessus et laisse-le(s) s'installer dans le chemin par defaut indiqué dessus

ensuite redemarre ton pc et dis-moi
0
Réponse 59 / 70
hetmasteen Messages postés 99 Statut Membre 2
 
en les recuperant sur une clé et en les copiant sur mon disque, le chemin qui s'affiche est :

c:\windows\downloaded program files\

c'est correct ?
0
Réponse 60 / 70
Utilisateur anonyme
 
pour l un oui
et l autre c'est pas le meme
0

Discussions similaires

mon téléphone ne reconnait plus sa base
TELEPHONaz -
baladur13 -

7 réponses
Combiné Gigaset déconnecté de sa base
Nil -
baladur13 -

3 réponses
Exemple de base de données access
Abdlahsaki -
Fleptche -

9 réponses
"Base" clignote sur mon fixe Gigaset A170 H
Royuela -
baladur13 -

16 réponses
TNT base de donnees vide!!
Angye25 -
Angye25 -

4 réponses