2 prog de spy qui se recréent ossito razés.

yopcity2004 Messages postés 238 Statut Membre -  
yopcity2004 Messages postés 238 Statut Membre -
bonjour
Je reçois sans cesse des pub de sexe sur mon pc même non connecté ils forçent mon explorer pour s'ouvrir.j'ai bo les razés aussitot ils se régénèrent et mon avast le détectent mais impossible de le supprimer une fois pour toutes.Je me demande si ce n'est pas mon ip qui est piraté????
pest patrol cleaner.Bitdefender hitjak et otres n'ont pu résoudre mon soucis.
Je vous poste l'analyse de hitjak çi desssous:
Logfile of HijackThis v1.99.1
Scan saved at JOSY 10:42, on 10/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\sys2349.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Trend Micro\Tmas\Tmas.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\jo\Mes documents\Downloads\Programs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telecharger.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.telecharger.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [sys2349] C:\WINDOWS\system32\sys2349.exe
O4 - HKLM\..\Run: [Windows Installer] C:\WINDOWS\system32\ntdll.exe
O4 - HKLM\..\Run: [Windows Spooler] C:\WINDOWS\system32\spoolsv32.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmas\Tmas.exe
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E57A603-36DD-4890-A5A8-BE238BAAC636}: NameServer = 80.118.196.40 80.118.192.110
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

aidez moi svp comment faire????
Le pc est interdit d'accès à mes gamins pour l'instant.Je ne sais combien de temps ils vont tenir ??.Please.....

5 réponses

  1. Real Mona Messages postés 1432 Statut Membre 94
     
    Bonjour,

    J'analyse ton log et je reviens vers toi.

    M.
    0
  2. yopcity2004 Messages postés 238 Statut Membre 73
     
    ok merci.
    Win32:Adware-gen. [Adw] c'est lme nom du adware qui se régénère chaque fois kon le raze.
    0
  3. Real Mona Messages postés 1432 Statut Membre 94
     
    Bonjour,

    Fais analyser ces fichiers
    C:\WINDOWS\system32\sys2349.exe sur
    C:\Program Files\Antipub\antipub.exe
    sur http://www.virustotal.com/xhtml/virustotal_en.html
    Quand tu cliques sur le lien, tout en haut tu vois "select file" une case blanche et un bouton "parcourir", tu cliques sur parcourir, tu sélectionnes le premier fichier et tu cliques sur "send" ensuite il t'affiche un rapport tu le copies en sélectionnant toutes les lignes et tu les colles sur le forum. Pareil pour le deuxième fichier.

    Ensuite, imprime ceci pour ne rien oublier de faire :

    Méthode à suivre dans l'ordre...

    ----------------------------------------------------------------------------
    ¤Télécharge ces logiciels (si tu ne les as pas) mais que tu n‘utilises pas tout de suite:

    1/Spybot S&D 1.4 <<nouvelle version
    http://www.safer-networking.org/fr/index.html

    Démo d’utilisation (merci à Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

    2/Ad-Aware SE 1.06 <<nouvelle version
    http://www.lavasoftusa.com/software/adaware/
    -Une aide:
    http://www.tutopat.com/viewtopic.php?t=1191
    - installe le patch français, tu pourras le trouver ici:
    http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
    et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/adawrevid.asf

    3/Clean Up 40:
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe
    -aide en image:(merci à Balltrap34)
    http://pageperso.aol.fr/balltrap34/democleanup.htm

    ----------------------------------------------------------------------------
    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5)
    ----------------------------------------------------------------------------
    Désactive ta restauration système:
    Clic droit sur poste de travail puis,
    propriété, tu cliques sur onglet restauration système
    tu coches la case « désactiver la restauration » et applique
    ----------------------------------------------------------------------------
    Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Coche « afficher les fichiers et dossiers cachés »

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décoche « masquer les extensions dont le type est connu »
    Puis fais «Ok» pour valider les changements.

    Et appliquer !
    ----------------------------------------------------------------------------
    Vide tes fichiers temps et tempory internet file:
    utilise ceci pour le faire (tu as téléchargé avant)
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe
    ----------------------------------------------------------------------------
    ¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

    O4 - HKLM\..\Run: [sys2349] C:\WINDOWS\system32\sys2349.exe fixe la si l’analyse par virustotal révèle un virus mais c’est un processus que je ne connais pas sous windows
    O4 - HKLM\..\Run: [Windows Installer] C:\WINDOWS\system32\ntdll.exe
    O4 - HKLM\..\Run: [Windows Spooler] C:\WINDOWS\system32\spoolsv32.exe
    O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe fixe la si l’analyse par virustotal révèle un virus

    ----------------------------------------------------------------------------

    Recherche et supprime ceci:
    attention seulement les fichiers (si présents)
    C:\WINDOWS\system32\sys2349.exe si l’analyse révèle un virus
    C:\WINDOWS\system32\ntdll.exe
    C:\WINDOWS\system32\spoolsv32.exe
    C:\Program Files\Antipub\antipub.exe si l’analyse révèle un virus
    ----------------------------------------------------------------------------
    ¤ Passe Ad-Aware et vire tout ce qu’il trouve
    ----------------------------------------------------------------------------
    ¤ Passe Spybot et vire tout ce qu’il trouve
    ----------------------------------------------------------------------------
    > Tu vides ta poubelle et tu redémarres en mode normal et refait un HijackThis

    Et enfin un petit conseil :
    installe un pare-feu (ou firewall) Si tu utilises celui de XP désactive le et installe http://download.zonelabs.com/bin/free/fr/download/comparison.html
    Pour désactiver ton firewall Windows XP tu fais la chose suivante :
    clique sur le bouton Démarrer, sur Paramètres, puis double clique sur Connexion Réseau. Sélectionne ta connexion puis clique dessus avec le bouton droit de la souris. Choisis la commande Propriétés. Dans l'onglet Avancé, décoche la case Protéger mon ordinateur et le réseau... Valide par OK

    A+
    M.
    0
    1. yopcity2004 Messages postés 238 Statut Membre 73
       
      BitDefender Online Scanner



      Scan report generated at: Mon, Oct 10, 2005 - 12:59:02





      Scan path: A:\;C:\;D:\;E:\;F:\;







      Statistics

      Time
      00:23:36

      Files
      71273

      Folders
      2922

      Boot Sectors
      2

      Archives
      1011

      Packed Files
      5271




      Results

      Identified Viruses
      5

      Infected Files
      5

      Suspect Files
      0

      Warnings
      0

      Disinfected
      0

      Deleted Files
      4




      Engines Info

      Virus Definitions
      219457

      Engine build
      AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)

      Scan plugins
      13

      Archive plugins
      39

      Unpack plugins
      4

      E-mail plugins
      6

      System plugins
      1




      Scan Settings

      First Action
      Disinfect

      Second Action
      Delete

      Heuristics
      Yes

      Enable Warnings
      Yes

      Scanned Extensions
      exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

      Exclude Extensions


      Scan Emails
      Yes

      Scan Archives
      Yes

      Scan Packed
      Yes

      Scan Files
      Yes

      Scan Boot
      Yes




      Scanned File
      Status

      C:\Documents and Settings\jo\Local Settings\Temporary Internet Files\Content.IE5\P3SX2GQ1\1[1].htm
      Infected with: Exploit.Html.MhtRedir.Gen

      C:\Documents and Settings\jo\Local Settings\Temporary Internet Files\Content.IE5\P3SX2GQ1\1[1].htm
      Disinfection failed

      C:\Documents and Settings\jo\Local Settings\Temporary Internet Files\Content.IE5\P3SX2GQ1\1[1].htm
      Deleted

      C:\WINDOWS\system32\install32m.exe
      Infected with: Trojan.Downloader.Agent.HO

      C:\WINDOWS\system32\install32m.exe
      Disinfection failed

      C:\WINDOWS\system32\install32m.exe
      Deleted

      C:\WINDOWS\system32\ntdll.exe
      Infected with: Trojan.Dropper.Agent.KD

      C:\WINDOWS\system32\ntdll.exe
      Disinfection failed

      C:\WINDOWS\system32\ntdll.exe
      Deleted

      C:\WINDOWS\system32\spoolsv32.exe
      Infected with: Trojan.Winad.275101.A

      C:\WINDOWS\system32\spoolsv32.exe
      Disinfection failed

      C:\WINDOWS\system32\spoolsv32.exe
      Deleted

      C:\WINDOWS\system32\sys2349.exe
      Infected with: Trojan.StartPage.AAL

      C:\WINDOWS\system32\sys2349.exe
      Disinfection failed

      C:\WINDOWS\system32\sys2349.exe
      Delete failed

      voila l'analyse de bitdefender
      0
  4. Real Mona Messages postés 1432 Statut Membre 94
     
    !!!!!!!

    C'était pas la peine de faire l'analyse de Bitdefender puisque tu as fait un hijackthis et que je t'ai même donné la marche à suivre pour nettoyer tes virus...

    Bref, j'attends !
    M.
    0
    1. yopcity2004 Messages postés 238 Statut Membre 73
       
      Merci bocoup
      Je peux te dire que cela a parfaitement marché . Et super.
      Le hic maintenant c'est que j'ai sup des prog qui sont apparus dans mes documents et au demarrage suivant impossible de lancer le pc:
      NSTDLL ( ou kelke chose comme ça ) est manquant .appuyer sur alt+ctrl+sup pour redemarer ainsi de suite.
      J'ai été obligé de le booter et de réinstaller win seuleument mon cd xp est défectueux rayures et une fois /2 il manque des fichires à la fin.
      là quand je vais sur skype il me dit : il n'y a pas de peripheriquers d'enregistrement dispo.
      Le Lecteur Windows Media ne peut pas lire le fichier parce que le périphérique audio pose problème. Votre ordinateur ne comporte peut-être pas de périphérique audio, ce périphérique est utilisé par un autre programme ou il ne fonctionne pas correctement. alors j'ai réinstallé ma carte son audigy 2zs.Le message ci dessus s'affiche quand je ve lire un cd audio.
      KOI faire svp???
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Real Mona Messages postés 1432 Statut Membre 94
     
    Je suis navrée, mais là ce n'est pas mon rayon !

    Poste plutôt ton message sur le forum matériel et/ou logiciel car ce n'est ni un virus, ni une question de sécurité.

    Bonne soirée,
    M.
    0
    1. yopcity2004 Messages postés 238 Statut Membre 73
       
      escuse moi je n'ai pas fè gaffe dans le feu de l'action.
      merci
      0