Spywres ISTbar, Dyfuca, Elitum.eliteBar Fermé

Question

Bonjour, J'ai de nouveau été infecté par les spywares ISTbar, Dyfuca, Elitum.eliteBar. J'ai fais les mises à jour windows update ce qui devrait j'espére améliorer les choses dans l'avenir. J'ai passé Adaware, Spybot et CWSherdLast 1.59.0.1 mais ils n'arrivent pas à supprimer les spywares. Surtout je ne comprends pas comment j'ai été réinfecté.Voici le resultats de HijackThis Logfile of HijackThis v1.99.1 Scan saved at 12:21:28, on 11/03/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe C:\WINDOWS\System32\Hummingbird\Connectivity\9.00\Inetd\inetd32.exe C:\Program Files\Hummingbird\Connectivity\9.00\Exceed\HumDisplayServer.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\System32
vsvc32.exe C:\WINDOWS\Explorer.exe C:\Program Files\Apoint\Apoint.exe C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe C:\WINDOWS\NeroCheck.exe C:\WINDOWS\sixtypopsix.exe C:\WINDOWS\unlxr.exe C:\WINDOWS
erocheck.exe C:\WINDOWS\System32\SVSS32.EXE C:\WINDOWS\System32\mah.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\Program Files\Microsoft Office\Office\FINDFAST.EXE C:\Program Files\Apoint\Apntex.exe C:\WINDOWS\System32\mcafee32.exe C:\Documents and Settings\lambelin jp\Mes documents\Securite\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ F2 - REG:system.ini: Shell=Explorer.exe mcafee32.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe O4 - HKLM\..\Run: [HumMeteringClient] rundll32.exe "C:\Program Files\Hummingbird\Connectivity\9.00\Accessories\MeteringClient.dll",RegisterProduct O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\NeroCheck.exe /i O4 - HKLM\..\Run: [sixtysix] C:\WINDOWS\sixtypopsix.exe O4 - HKLM\..\Run: [bcakg] C:\WINDOWS\unlxr.exe O4 - HKLM\..\Run: [ntguilu] c:\windows\system32
tguilu.exe O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS
erocheck.exe /i O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitegiy32.exe O4 - HKLM\..\Run: [Windows Service Support Call] SVSS32.EXE O4 - HKLM\..\Run: [System] mah.exe O4 - HKLM\..\RunServices: [MS windows Data list process] MSDATLST.exe O4 - HKLM\..\RunServices: [Windows Service Support Call] SVSS32.EXE O4 - HKLM\..\RunServices: [MS USB 2.0 Windows Support] msusb32.exe O4 - HKLM\..\RunServices: [System] mah.exe O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [System] mah.exe O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O15 - Trusted Zone: *.media-motor.net O15 - Trusted Zone: *.popuppers.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109698002364 O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll O23 - Service: Aluria Security Center Spyware Eliminator Service (ASCService) - Unknown owner - C:\Program Files\Aluria Security Center\ascserv.exe O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe O23 - Service: Hummingbird InetD (HCLInetd) - Hummingbird Ltd. - C:\WINDOWS\System32\Hummingbird\Connectivity\9.00\Inetd\inetd32.exe O23 - Service: Hummingbird Exceed Display Management (HumDisplayServer) - Hummingbird Ltd. - C:\Program Files\Hummingbird\Connectivity\9.00\Exceed\HumDisplayServer.exe O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe Merci pour l'aide.

Rumbacampus · Answer

BonjourDéjà tu peux évaluer ton hijackthis làhttp://www.hijackthis.de/index.phpTu peux peut-être corriger toi-même certaines lignes ou mieux cibler tes questions.@+

Rumbacampus · Answer

re esprit d'escalierTu n'as pas de parefeu, apparament ?. Dans ce cas, cherche pas, tes infections viennent de ça Regarde là http://perso.wanadoo.fr/websecurite/proteger.htm@+

Rumbacampus · Answer

Re

Oublie www.trucsastuce, c'est nul.
Essaie aussi de passer CWShredder que tu trouveras là
http://www.majorgeeks.com/download4086.html
Pour ta bdr, nettoie avec regcleaner ou autre.
Ton Hijackthis a l'air normal. (Voir ligne 017, & refs à humminbird ?)
@+

jpl · Answer

Misère,
Je pensais être sorti d'affaire mais bien que la machine m'ai pas été connecté sur le net mon antivirus a dectecté les mêmes spyvares aprés la mise a jour du fichier de signatures!
je n'ai pas le temps de m'en accuper avant ce week end.
Je vais refaire toute la procédure.
Merci pour votre aide.
et a bientôt

Spywres ISTbar, Dyfuca, Elitum.eliteBar

4 réponses

Newsletters