Sujet Précédent Sujet Suivant

Spyware

Fermé
Kemar54 Messages postés 107 Date d'inscription dimanche 24 avril 2005 Statut Membre Dernière intervention 19 août 2019 - 11 août 2005 à 21:42
NRV Messages postés 9 Date d'inscription jeudi 23 septembre 2004 Statut Membre Dernière intervention 26 mai 2007 - 21 août 2005 à 23:29
Bonjour,

J'ai un souci avec un pc. J'ai du spyware mais j'arrive pas à le virer. je suis sous windows XP. c'est un spyware venant de www.abetterinternet.com.
deux points exe : aureco.exe et thnall1z.exe demandent l'accès à internet régulièrement. Je les bloque avec zone alarm ms ils se dupliquent dans mes fichiers temporaires (les même revienent tjs même quand je les effaces).
Sybot et ad-aware ne les trouvent pas. J'ai donc télécharger counterspy, mais apparemment le pc ne l'aime pas car il bug en plein scan (plus précisément au début du scan de la base de registre) et redémarre spontannément (rupture brutale....), et ceci même en scanant en mode sans echec. Et pendant le redémarage de windows, il se "recoupe" à nouveau, redémarre, et ainsi de suite... ce problème se résoud quand je démarre en mode sans echec, puis en mode sélectif sans counterspy.. Je l'ai donc viré, le système est stable ms j'ai toujours ce problème récurent avec ce spyware cité précédemment...

Si qqun pouvais me dire comment le virer je lui serai reconnaissant.

Merci pour tt

Marc
A voir également:

15 réponses

Réponse 1 / 15
Utilisateur anonyme
11 août 2005 à 22:12
Bonjour,

Commence par scanner ton pc avec ces 2 anti spywares complémentaires :

1/Spybot S&D 1.4 <<nouvelle version
http://www.safer-networking.org/fr/index.htm

Démo d’utilisation (merci à Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm


2/Ad-Aware SE 1.06 <<nouvelle version
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français, tu pourras le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/adawrevid.asf

puis----------------------------------------------------------------------------
¤Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire
http://pageperso.aol.fr/balltrap34/CleanUp40.exe

et télécharge HijackThis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (merci à balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+
0
Réponse 2 / 15
Kemar54 Messages postés 107 Date d'inscription dimanche 24 avril 2005 Statut Membre Dernière intervention 19 août 2019 70
11 août 2005 à 22:45
Merci pour ton aide...

J'ai fait tt ca, mais spybot a rien trouvé, ad-aware non plus. Scan avast non plus, scan en ligne bitdefender a planté, et scan en ligne ravantivirus non plus. (entre temps, avast m'a trouvé Trojan (win32-trojan). Mais bon, j'ai lancé cleanup puis hijackthis.
Voici le résultat :
Merci bcp
Marc


Logfile of HijackThis v1.99.1
Scan saved at 22:38:09, on 08/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.exe
D:\mes programmes\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\mes programmes\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\active sync\WCESCOMM.EXE
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\WINDOWS\System32\fovnsfu.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oemji.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.oemji.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.esc-lille.fr/site/www/fr/home_page_fr/presentation_groupe_esc_lille/les_campus_desc_lille/campus_de_lille.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\mes programmes\Adobe Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PBHelper - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Program Files\Oemji\Toolbar\PopupBlocker\PBHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - c:\windows\system\bhomod01.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Program Files\Oemji\OemjiSearchPlus\OemjiPls.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll (file missing)
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Program Files\Oemji\Toolbar\OemjiSrc.dll
O4 - HKLM\..\Run: [WinampAgent] D:\mes programmes\Winamp\winampa.exe
O4 - HKLM\..\Run: [ChelloDesktop] нA\ChelloDesktop.exe
O4 - HKLM\..\Run: [ChelloBackground] нA\ChelloMessenger.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AdobeVersionCue] D:\mes programmes\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [bSUpLZ5Be] C:\WINDOWS\rokvym.exe
O4 - HKLM\..\Run: [bO²ùð.×y-¯Œ] C:\WINDOWS\rokvym.exe
O4 - HKLM\..\Run: [bO²ùõö/‚D%)ßfÏNb½¾C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rokvym.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [qofsoin] C:\WINDOWS\System32\fovnsfu.exe r
O4 - HKCU\..\Run: [zqwm] C:\PROGRA~1\COMMON~1\zqwm\zqwmm.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\active sync\WCESCOMM.EXE"
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\ACTIVE SYNC\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\ACTIVE SYNC\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\ACTIVE SYNC\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O18 - Filter: text/html - {350BA9F9-CEF6-458A-BA47-B3BF32C6B021} - C:\Documents and Settings\Aude\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat
O23 - Service: AdobeVersionCue - Adobe Sytems - D:\mes programmes\Adobe Version Cue\service\VersionCue.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 3 / 15
Kemar54 Messages postés 107 Date d'inscription dimanche 24 avril 2005 Statut Membre Dernière intervention 19 août 2019 70
11 août 2005 à 23:50
Oh rage, oh désespoir...
Je sais plus quoi faire.. je peu même plus scaner le pc!
le scan avec avast et ravantivirus (en ligne) passent mais ne trouvent rien...
Les scan avec bitdefender et trendmicro (les 2 en ligne) font planter le pc : rupture totale avec redemarrage... (comme avec counterspy d'ailleurs)!
Et toujours ce spyware www.abetterinternet.com (aureco.exe et thnall1z.exe) qui me nargue... tt comme win32-trojan (ce qui est bizarre, c'est qu'une alerte avast me préviens et me permet de le supprimer, mais quand je scan il trouve rien.)
Et même spybot maintenant... j'ai étendu le scan aux traceurs, je rescan et là spybot se coupe à 1/4 du scan.. comme ca! je le relance (je suis têtu...) et là... rupture, redemarrage!
Mes nerfs vont rompre!
si qqun a connu ou a été amené à résoudre le même problème je lui serai reconnaissant de m'aider à trouver une solution.. s'il y en a une (à part le formatage...)

Merci d'avance de votre aide.

Marc
0
Réponse 4 / 15
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
12 août 2005 à 00:19
salut

► imprime ceci pour ne rien oublier et tous faire
tous faire dans l ordre imperativement
-------------------------
► tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif

ad-aware (1)version 1.06

(ici) http://www.florensac-chasse-trap.com/ section virus
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 15
Kemar54 Messages postés 107 Date d'inscription dimanche 24 avril 2005 Statut Membre Dernière intervention 19 août 2019 70
12 août 2005 à 04:46
Yep,

Ba voilà, j'ai mis le temps, mais j'ai bien respecté la procédure...
J'ai rencontré un seul problème : avec spybot... (en mode sans echec comme indiqué) malgrès une réinstallaton avant de tt commencer :
Il s'est coupé lors du premier scan,
il y a eu rupture totale et redemarrage lors du second
et comme je suis tétu, je l'ai relancé une 3 è fois.. et encore une fois il n'a pas eu le temps de finir... mais il a eu le tps dafficher 3 messages d'erreur :

1. Erreur lors des vérifications
InterSysInc[224] (Access violation at adress O3C2FCBF. Read of adress O3C2FCBF)

2.même chose mais avec "TagoDialer[639]" à la place de "InterSysInc[224]" (même adresse)

3.même chose avec "TIBS[48]" (idem)

Et là... le tps de noter.. je lève ls yeux sur l'ecran... NOIR! il etait en train de redemarrer.
Bref, les scan avec ad-aware et a2 pas de prob, j'ai viré les trucs qu'ils m'ont trouvé... Le nouveau log Hijackthis est à la fin.

Mais voilà, je me remet en mode normal, et là zone alarm se manifeste et me redemande l'autorisation d'acces à internet (que je refuse systematiquement) à aurareco.exe et thnall1z.exe et un petit nouveau "thnall1a.exe"...
Et uste apres, "wouwou" alerte avast! pour "Win32-Adan-124[Adw]"

Voilà, là je vais aller me coucher car je suis gavé
Merci pour tt en tt cas.
si tu trouve qque chose, une solution, une idée, elle sera bienvenue, mais si ca continu je crois que je vais formater tt ca (tant pis), ca va etre jouissif...

Marc






Logfile of HijackThis v1.99.1
Scan saved at 04:28:06, on 08/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\kfbdfqy.exe
D:\mes programmes\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\mes programmes\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\active sync\WCESCOMM.EXE
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.esc-lille.fr/site/www/fr/home_page_fr/presentation_groupe_esc_lille/les_campus_desc_lille/campus_de_lille.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\mes programmes\Adobe Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PBHelper - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Program Files\Oemji\Toolbar\PopupBlocker\PBHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Program Files\Oemji\OemjiSearchPlus\OemjiPls.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll (file missing)
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Program Files\Oemji\Toolbar\OemjiSrc.dll
O4 - HKLM\..\Run: [WinampAgent] D:\mes programmes\Winamp\winampa.exe
O4 - HKLM\..\Run: [ChelloDesktop] нA\ChelloDesktop.exe
O4 - HKLM\..\Run: [ChelloBackground] нA\ChelloMessenger.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AdobeVersionCue] D:\mes programmes\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [xopqpnk] C:\WINDOWS\System32\kfbdfqy.exe r
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\active sync\WCESCOMM.EXE"
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\ACTIVE SYNC\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\ACTIVE SYNC\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\ACTIVE SYNC\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O18 - Filter: text/html - {350BA9F9-CEF6-458A-BA47-B3BF32C6B021} - C:\Documents and Settings\Aude\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat
O23 - Service: AdobeVersionCue - Adobe Sytems - D:\mes programmes\Adobe Version Cue\service\VersionCue.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

0
Réponse 6 / 15
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
12 août 2005 à 10:30
desactive a2 le temp de la manip

telecharger ceci
http://www.ewido.net/en/download/
Quand le téléchargement a fini, place ewido-setup.exe sur ton Bureau.
Double cliquez-y pour commencer l'installation.

Dans la fenêtre de ' les Options Complémentaires, decoche
'Install required for automatic updates (background guard)' and
'Install scan via context menu'.

Quand l'installation est complète, vous devrez mettre à jour Ewido aux derniers fichiers de définition :

Double cliquez sur l'icône de Bureau.
Dans l'écran principal, du côté gauche le côté, clique sur Update.
Dans l'écran suivant, cliquez sur Start Update

Quand il a fini de mettre à jour
Si vous avez des problèmes avec le logiciel de mise à jour, vous pouvez manuellement mettre à jour Ewido. Cliquez ici.
http://www.ewido.net/en/download/updates/


2) Télécharger Nailfix d'ici et met le sur ton bureau
http://www.noidea.us/easyfile/file.php?download=20050515010747824
decompresse le ne l utilise pas encore


3)telecharge cleanup
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
voir demo
http://pageperso.aol.fr/balltrap34/democleanup.htm

demarre en mode sans echec

4) Exécuté Nailfix.cmd


5) Exécuté Ewido.
Cliquez sur Scanner
Cliquez Complete System Scan
si il te demande de nettoyer des fichiers cliquer sur OK.
Quand il demande si vous voulez nettoyer le premier fichier, cocher dans le coin plus bas gauche de la boîte qui dit ' Perform action with all infections' clique sur OK.
Une fois que le balayage a achevé, il y aura un bouton placé en bas de l'écran nommé Save report cliquer dessus
Sauvegardez report.txt le fichier à votre bureau.

Fermez maintenant la suite de sécurité ewido.


6) ? relance hijack coche ces lignes et ensuite clik sur fix

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
C:\WINDOWS\System32\kfbdfqy.exe

7) recherche et suppr ces fichiers si tu trouve
C:\WINDOWS\Nail.exe
c:\windows\system32\xqzxkm.exe
c:\windows\SvcProc.exe



8)copie colle ceci dans le bloc note se qui est entre les etoiles

*********************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]
"start"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]
"start"=dword:00000004

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B8B55274-0F9A-41E5-9067-A3539BD9E860}]

[-HKEY_CLASSES_ROOT\CLSID\{581F22DA-7202-4F21-AEF3-114787156016}]

[-HKEY_CLASSES_ROOT\MSEvents.MSEvents]

[-HKEY_CLASSES_ROOT\MSEvents.MSEvents.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1]



*******************
enregistre le et donne lui comme nom
xxx.reg et met tous fichiers dans type

double clik dessus et confirme

9=la redemarre et refait un hijack et met nous le rapport Eweido




0
Réponse 7 / 15
Kemar54 Messages postés 107 Date d'inscription dimanche 24 avril 2005 Statut Membre Dernière intervention 19 août 2019 70
12 août 2005 à 13:28
Yep,

voilà le rapport 1. Hijackthis et 2. ewido

Merci encore, je n'ai pas eu d'alertes en redemarrant.. aucune...



1.
Logfile of HijackThis v1.99.1
Scan saved at 13:24:25, on 08/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\mes programmes\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\mes programmes\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\active sync\WCESCOMM.EXE
C:\WINDOWS\System32\gsvryhy.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.esc-lille.fr/site/www/fr/home_page_fr/presentation_groupe_esc_lille/les_campus_desc_lille/campus_de_lille.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\mes programmes\Adobe Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PBHelper - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Program Files\Oemji\Toolbar\PopupBlocker\PBHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Program Files\Oemji\OemjiSearchPlus\OemjiPls.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Program Files\Oemji\Toolbar\OemjiSrc.dll
O4 - HKLM\..\Run: [WinampAgent] D:\mes programmes\Winamp\winampa.exe
O4 - HKLM\..\Run: [ChelloDesktop] нA\ChelloDesktop.exe
O4 - HKLM\..\Run: [ChelloBackground] нA\ChelloMessenger.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AdobeVersionCue] D:\mes programmes\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [jpnuoy] C:\WINDOWS\System32\gsvryhy.exe r
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\active sync\WCESCOMM.EXE"
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\ACTIVE SYNC\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\ACTIVE SYNC\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\ACTIVE SYNC\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O18 - Filter: text/html - {350BA9F9-CEF6-458A-BA47-B3BF32C6B021} - C:\Documents and Settings\Aude\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat
O23 - Service: AdobeVersionCue - Adobe Sytems - D:\mes programmes\Adobe Version Cue\service\VersionCue.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe












2.
---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------

+ Créé le: 12:56:10, 08/12/2005
+ Somme de contrôle: F0A86878

+ Résultats du scan:

HKLM\SOFTWARE\Classes\CLSID\{014DA6C9-189F-421a-88CD-07CFE51CFF10} -> Spyware.MySearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{AA4939C3-DECA-4A48-A454-97CD587C0EF5} -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{EEE4A2E5-9F56-432F-A6ED-F6F625B551E0} -> Dialer.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TypeLib\{09CA52B3-703C-4B17-9690-C13F736E3DCD} -> Dialer.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\IST -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins -> Spyware.WebRebates : Nettoyer et sauvegarder
HKLM\SOFTWARE\Windows ServeAd -> Spyware.BlazeFind : Nettoyer et sauvegarder
[832] C:\WINDOWS\System32\ubnxfzf.exe -> Trojan.Agent.cp : Nettoyer et sauvegarder
[972] VM_00E90000 -> Adware.BetterInternet : Erreur durant le nettoyage
C:\Documents and Settings\Aude\Local Settings\Application Data\Microsoft\Internet Explorer\V0.29.dat -> Dialer.Generic : Nettoyer et sauvegarder
C:\Documents and Settings\Aude\Local Settings\Application Data\Microsoft\Internet Explorer\V0.30.dat -> Dialer.Generic : Nettoyer et sauvegarder
C:\Program Files\Oemji\OemjiSearchPlus\OemjiPls.dll -> Spyware.Nomeh : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\fra_glob.exe -> Dialer.Generic : Nettoyer et sauvegarder
C:\WINDOWS\system32\ubnxfzf.exe -> Trojan.Agent.gp : Nettoyer et sauvegarder
D:\mes documents\Cookies\aude@112.2o7[1].txt -> Spyware.Cookie.2o7 : Nettoyer et sauvegarder
D:\mes documents\Cookies\aude@burstnet[2].txt -> Spyware.Cookie.Burstnet : Nettoyer et sauvegarder
D:\mes documents\Cookies\aude@hotbabes.com.19522.fb.dbbsrv[2].txt -> Spyware.Cookie.Dbbsrv : Nettoyer et sauvegarder
D:\mes documents\Cookies\aude@ilead.itrack[1].txt -> Spyware.Cookie.Itrack : Nettoyer et sauvegarder


::Fin du rapport
0
Réponse 8 / 15
Kemar54 Messages postés 107 Date d'inscription dimanche 24 avril 2005 Statut Membre Dernière intervention 19 août 2019 70
12 août 2005 à 13:33
ah si... nouvel demande d'acces à internet de thnall1z.exe et thnall1a.exe toujours de www.abetterinternet.com....
0
Réponse 9 / 15
Kemar54 Messages postés 107 Date d'inscription dimanche 24 avril 2005 Statut Membre Dernière intervention 19 août 2019 70
12 août 2005 à 13:37
Héhé... le temps de valider et nouvel alarm avast! : toujours le même web32-trojan. fichier infecté :
C:\windows\ougusmqixco.exe
je l'efface?
0
Réponse 10 / 15
Kemar54 Messages postés 107 Date d'inscription dimanche 24 avril 2005 Statut Membre Dernière intervention 19 août 2019 70
12 août 2005 à 14:37
j'ai trouvé une solution à cette adrese :
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453076992
tu peu me dire ce que tu en penses stp?

Merci bien

Marc
0
Réponse 11 / 15
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
12 août 2005 à 17:25
oui c est tres bon regarde si tu trouve les fichiers citer et suppr
0
Réponse 12 / 15
Kemar54 Messages postés 107 Date d'inscription dimanche 24 avril 2005 Statut Membre Dernière intervention 19 août 2019 70
12 août 2005 à 17:32
yep merci bcp en tt cas pour ton aide... de toute facon si ca ne marche pas, je crois que je vais formater.. Il faut dire que ce pc est à un pote, et il s'en est servi un certain temps pour aller sur internet sans antivirus ni firewall.. d'ou la difficulté de le netoyer je pense..
a+
Marc
0
Réponse 13 / 15
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
12 août 2005 à 17:38
non c est toujours nettoyable
0
Réponse 14 / 15
Kemar54 Messages postés 107 Date d'inscription dimanche 24 avril 2005 Statut Membre Dernière intervention 19 août 2019 70
12 août 2005 à 18:53
Je veut bien te croire, mais là j'ai beau fixer Nail et Svcproc ils reviennent tjs.. j'ai suivi les instructions du lien dt je t'ai parlé et ca n'a rien changé... enfin bref, là j'en ai marre..
Merci quand même pour ton aide et le temps que tu as passé pour m'aider.
a+

Marc
0
tibo
15 août 2005 à 17:18
salut marc, sans vouloir rammener ma science qui est minime:

dans google 2 eme site de la recherche "abetterinternet.com spyware" je suis tombé là dessus:
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453076992

y'a qu'à suivre, y'a plus rien, merci google, bonne fin bon courage ^^
0
NRV Messages postés 9 Date d'inscription jeudi 23 septembre 2004 Statut Membre Dernière intervention 26 mai 2007
21 août 2005 à 23:29
C'est bien beau tout ça, mai si on a choppé ce machin et en admettant que le procédé abscon et laborieux donné ici ==>

http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453076992

Nous en debarrasse, comment s'assurer que le problème ne revienne pas?
0
Réponse 15 / 15
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
12 août 2005 à 18:57
sur le dernier log il ny etais plus
0

Discussions similaires

Trojan alerte
Titou43 -
gen-hackman -

23 réponses
Problème Virus Trojan
jmpower -
bazfile -

4 réponses
Windows defender: avertissement de sécurité
surfinia -
Tchoumi -

20 réponses