Sujet Précédent Sujet Suivant

Looking-For Home Search Assistant/Spyware

Fermé
Florent - 13 déc. 2005 à 18:14
ben13010 Messages postés 3356 Date d'inscription vendredi 24 septembre 2004 Statut Contributeur Dernière intervention 5 octobre 2012 - 13 déc. 2005 à 20:51
Bonjour à Tous,

J'ai besoin de votre aide : Mon ordinateur ne marche pas correctement je m'explique.

Je pense être infecté par des spywares puissants (qui contrôle mon ordi) seulement je n'arrive pas en m'en débarrasser.
Je ne suis pas un connaisseur, j'ai essayer de me débrouiller avec les moyens du bord soit : Adware/spybot/counterspy

Ce dernier m'indique que j'ai 3 fichiers infecté mais il n'arrive pas à me les arranger : -1 jugé sévère : Looking-For Home Search Assistant situé sur
C:\WINDOWS\ntnvzp.dat
C:\WINDOWS\SYSTEM\lffwq.dll (celui qui me pose le plus de problème qd j'essai de me connecter sur internet).
c:\WINDOWS\TEMP\132.TMP

ET plein HKEY_LOCAL_MACHINE\Software\Microsoft\Wir ou Winc etc...
Enoncés dans CWS.NS3 et CWS.AboutBlank

Spybot quand à lui me dit que j’ai CoolWWWSearch.IELinks ainsi que CoolWWWSearchKlick et Trek Blue Error Nuker Une fois ces fichiers supprimés Spybot m’indique qu’un fichier tente de changer mon URL et c’est repartit pour un tour même s je bloque l’action les spywares reviennent.

Voici le un bout du rapport je c’est pas si ça vous indiquera qqch (si vs le voulez en entier faites moi signe):

CoolWWWSearch.IELinks: Page de recherche IE (Modification du registre, nothing done)
HKEY_USERS.DEFAULT\Software\Microsoft\Internet Explorer\Main\Search Page=about:blank

CoolWWWSearch.IELinks: Page de recherche IE (Modification du registre, nothing done)
HKEY_LOCAL_MACHINESoftware\Microsoft\Internet Explorer\Main\Search Page=about:blank

CoolWWWSearch.IELinks: Page de recherche IE (Modification du registre, nothing done)
HKEY_LOCAL_MACHINESoftware\Microsoft\Internet Explorer\Main\Search Bar=about:blank

CoolWWWSearch.IELinks: Page de recherche IE (Modification du registre, nothing done)
HKEY_LOCAL_MACHINESoftware\Microsoft\Internet Explorer\Main\Default_Search_URL=about:blank

CoolWWWSearch.IELinks: Page de recherche IE (Modification du registre, nothing done)
HKEY_LOCAL_MACHINESoftware\Microsoft\Internet Explorer\Search\SearchAssistant=about:blank

CoolWWWSearch.SearchKlick: Réglages (Valeur du registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA\DisplayName

CoolWWWSearch.SearchKlick: Réglages (Valeur du registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA\UninstallString

Trek Blue Error Nuker: Réglages désinstallation (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA

Trek Blue Error Nuker: Réglages désinstallation (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE

Trek Blue Error Nuker: Réglages désinstallation (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW

En ce qui de l’antivirus Avast ne me détecte rien…
J’ai cleanup il supprime il supprime mais ça change rien…

J’ai regardé quelques réponses sur divers forum j’ai nettoyer en mode sans échec mais sa n’a pas changer grand-chose juste le fait intéressant que l’on ne peut plus m’ouvrir mes fichiers par l’intermédiaire de rechercher (on m’ouvrait paint ou mes documents) je c pas si c un logiciel ou un pirate mais depuis que j’ai nettoyé en mode sans échec : rien à signaler…

J’ai donc plusieurs pb mais je ne sais pas d’où ils viennent ni les répercussions qu’ont ces spywares : en gros j’ai besoin d’aide svp !!!

P.S : Je ne sais pas me servir des hijackthis et autres cwshredder pour faire des rapport comme j’ai pu voir dans les autres posts.

Merci d'avance de bien vouloir m'indiquer le chemin à suivre..
A voir également:

10 réponses

Réponse 1 / 10
ben13010 Messages postés 3356 Date d'inscription vendredi 24 septembre 2004 Statut Contributeur Dernière intervention 5 octobre 2012 387
13 déc. 2005 à 18:32
deja telecharge ca

http://www.intermute.com/spysubtract/cwshredder_download.html


tu clique sur mise ajour avant de scanner

ensuite tu scanne ton pc et toute les infection trouvées tu clique sur fix

reposte ensuite et dis nous si ca va mieux

lis ca pour t'aider

http://assiste.free.fr/p/frameset/07_cwshredder.php
0
Florent
13 déc. 2005 à 18:50
Merci ben pr ta réponse,

Cependant cela n'a rien détecté comme cws alors que spybot lui les détectent...

Mon Internet explorer URL (je c pas ce ke c'est) veut tout le temps changer et c'est counterspy qui me prévient :

The Internet Explorer URL for your IE Urls is attempting to be changed from res://C:\WINDOWS\system\lffwq.dll/sp.html#83556

Il y a le fameux fichier lffwq.dll dans cette alerte c'est dangereux ?
0
Réponse 2 / 10
Florent
13 déc. 2005 à 18:32
Allez!! Soyez sympa je c'est que c'est long lire mais aidez-moi si vous le pouvez...
0
Réponse 3 / 10
Utilisateur anonyme
13 déc. 2005 à 18:41
salut florent ben t'as repondu !!
@++++
0
Florent
13 déc. 2005 à 18:54
Salut jess tu ne sais pas toi comment régler ce problème ben m'a conseillé CWS comme tu me l'a fait remarquer mais cela n'a malheureusement rien fait....
0
Réponse 4 / 10
Utilisateur anonyme
13 déc. 2005 à 18:54
salut telecharge hijackthis et colle le raport ici
http://www.infos-du-net.com/telecharger/HijackThis.html

@+++++++
0
Florent
13 déc. 2005 à 19:06
J'ai télécharger Hijackthis il me demande ce que je veux faire j'ai fait un scan et après je sais pas ce qui faut faire(save log \fix checked, etc..) et pour le rapport comment on le copie ? (désolé j'y arrive pas)
0
ben13010 Messages postés 3356 Date d'inscription vendredi 24 septembre 2004 Statut Contributeur Dernière intervention 5 octobre 2012 387
13 déc. 2005 à 19:14
tu clique sur do a scan and save a log
case 1 koi

ensuite quand tu as ton rapprt dans le bloc note , tu fais selectionner tout et ensuite copier tout

et tu colles ici
0
Florent
13 déc. 2005 à 19:15
re, voici le rapport HijackThis :


Logfile of HijackThis v1.99.1
Scan saved at 19:11:32, on 13/12/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\APIGL32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\PROGRAM FILES\AMD\POWERNOW!\GEMBACK.EXE
C:\PROGRAM FILES\INVENTEL\GATEWAY\WLANCFG.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\SUNSERVER.EXE
C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE
C:\PROGRAM FILES\EZSYSTEM\EZBUTTON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\SUNPROTECTIONSERVER.EXE
C:\PROGRAM FILES\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\SUNTHREATENGINE.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\JAVAZH.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\BUREAU\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\lffwq.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\lffwq.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\eitfz.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\lffwq.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\lffwq.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Class - {A8995D1C-4882-29FE-B52D-2D99FF80D879} - C:\WINDOWS\WINKJ32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AMD PowerNow!] "C:\Program Files\AMD\PowerNow!\GemBack.exe"
O4 - HKLM\..\Run: [wlancfg] C:\Program Files\Inventel\Gateway\wlancfg.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [PSPVideo9] C:\Program Files\pspvideo9\pspVideo9.exe -t
O4 - HKLM\..\Run: [JAVAZH.EXE] C:\WINDOWS\SYSTEM\JAVAZH.EXE
O4 - HKLM\..\Run: [D082.TMP] C:\WINDOWS\TEMP\D082.TMP.exe
O4 - HKLM\..\Run: [D093.TMP] C:\WINDOWS\TEMP\D093.TMP.exe
O4 - HKLM\..\Run: [D082.TMP.EXE] C:\WINDOWS\TEMP\D082.TMP.EXE
O4 - HKLM\..\Run: [D093.TMP.EXE] C:\WINDOWS\TEMP\D093.TMP.EXE
O4 - HKLM\..\Run: [SunServer] C:\PROGRAM FILES\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\sunserver.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [APIGL32.EXE] C:\WINDOWS\APIGL32.EXE /s
O4 - HKLM\..\RunOnce: [AAW] "C:\PROGRAM FILES\LAVASOFT\AD-AWARE SE PERSONAL\AD-AWARE.EXE" "+b1"
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRAM FILES\WANADOO\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Ez Mail.lnk = C:\Program Files\Ez Mail V1.01\EzMail.exe
O4 - Startup: Ez Button.lnk = C:\Program Files\EzSystem\EZButton.exe
O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

excusé je ne m'était jamais servi du logiciel...
Si ces infos peuvent vous aider...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
Utilisateur anonyme
13 déc. 2005 à 19:16
voir demo : http://pageperso.aol.fr/balltrap34/demohijack.htm (merci balltrap pour la realisation)

@++++++++++
0
Réponse 6 / 10
Florent
13 déc. 2005 à 19:19
Merci ben et jess tenez le rapport le premier je c pas si je l'ais fait correctement :

Logfile of HijackThis v1.99.1
Scan saved at 19:15:38, on 13/12/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\APIGL32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\PROGRAM FILES\AMD\POWERNOW!\GEMBACK.EXE
C:\PROGRAM FILES\INVENTEL\GATEWAY\WLANCFG.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\SUNSERVER.EXE
C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE
C:\PROGRAM FILES\EZSYSTEM\EZBUTTON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\SUNPROTECTIONSERVER.EXE
C:\PROGRAM FILES\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\SUNTHREATENGINE.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\JAVAZH.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\BUREAU\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\lffwq.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\lffwq.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\eitfz.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\lffwq.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\lffwq.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Class - {A8995D1C-4882-29FE-B52D-2D99FF80D879} - C:\WINDOWS\WINKJ32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AMD PowerNow!] "C:\Program Files\AMD\PowerNow!\GemBack.exe"
O4 - HKLM\..\Run: [wlancfg] C:\Program Files\Inventel\Gateway\wlancfg.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [PSPVideo9] C:\Program Files\pspvideo9\pspVideo9.exe -t
O4 - HKLM\..\Run: [JAVAZH.EXE] C:\WINDOWS\SYSTEM\JAVAZH.EXE
O4 - HKLM\..\Run: [D082.TMP] C:\WINDOWS\TEMP\D082.TMP.exe
O4 - HKLM\..\Run: [D093.TMP] C:\WINDOWS\TEMP\D093.TMP.exe
O4 - HKLM\..\Run: [D082.TMP.EXE] C:\WINDOWS\TEMP\D082.TMP.EXE
O4 - HKLM\..\Run: [D093.TMP.EXE] C:\WINDOWS\TEMP\D093.TMP.EXE
O4 - HKLM\..\Run: [SunServer] C:\PROGRAM FILES\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\sunserver.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [APIGL32.EXE] C:\WINDOWS\APIGL32.EXE /s
O4 - HKLM\..\RunOnce: [AAW] "C:\PROGRAM FILES\LAVASOFT\AD-AWARE SE PERSONAL\AD-AWARE.EXE" "+b1"
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRAM FILES\WANADOO\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Ez Mail.lnk = C:\Program Files\Ez Mail V1.01\EzMail.exe
O4 - Startup: Ez Button.lnk = C:\Program Files\EzSystem\EZButton.exe
O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
0
Réponse 7 / 10
ben13010 Messages postés 3356 Date d'inscription vendredi 24 septembre 2004 Statut Contributeur Dernière intervention 5 octobre 2012 387
13 déc. 2005 à 19:25
fixe ca et supprime les fichiers en gras

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\lffwq.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\lffwq.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\eitfz.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\lffwq.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\lffwq.dll/sp.html#83556

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {A8995D1C-4882-29FE-B52D-2D99FF80D879} - C:\WINDOWS\WINKJ32.DLL

O4 - HKLM\..\Run: [JAVAZH.EXE] C:\WINDOWS\SYSTEM\JAVAZH.EXE

O4 - HKLM\..\Run: [D082.TMP] C:\WINDOWS\TEMP\D082.TMP.exe
O4 - HKLM\..\Run: [D093.TMP] C:\WINDOWS\TEMP\D093.TMP.exe
O4 - HKLM\..\Run: [D082.TMP.EXE] C:\WINDOWS\TEMP\D082.TMP.EXE
O4 - HKLM\..\Run: [D093.TMP.EXE] C:\WINDOWS\TEMP\D093.TMP.EXE


O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab




supprime tes fichiers temporaire avec clean up! et ccleaner



http://www.stevengould.org/software/cleanup/

http://www.ccleaner.com/

reposte ensuite



pour fixer , tu clique sur le 2eme case

tu met une crois en face des lignes que je t'ai donné et tu clik sur fix checked

0
Florent
13 déc. 2005 à 19:58
Slt Ben,

J'ai fait tout ce que tu m'a demander j'ai juste rencontrer de la résistance pour supprimer WINKJ32.DLL.
Cependant dès que j'ai eu fini tes instructions counterspy a commencé a me dire que des fichiers windows veulent s'intaller qu'il faut que je les bloquent je te donnerai des information a ce sujet après car là g redemmarer l'ordi (pour clean up)...
La je passe un coup ad aware et j'ai maintenant plus de virus qu'avant avec 10 SearchClick objet critique qui ont pour notation TAC 10 (à mon avis tu dois savoir tout ce que cela doit vouloir dire, bcp mieux que moi)
Comme d'ab certain objet nepeuvent être supprimés :
c:\_RESTORE\TEMP\A0035430.CPY
ET c:\RESTORE\TEMP\A0035549.CPY

Donc voilà j'attends de tes news...Merci...
0
Réponse 8 / 10
ben13010 Messages postés 3356 Date d'inscription vendredi 24 septembre 2004 Statut Contributeur Dernière intervention 5 octobre 2012 387
13 déc. 2005 à 20:04
J'ai fait tout ce que tu m'a demander j'ai juste rencontrer de la résistance pour supprimer WINKJ32.DLL.

ok mais tu l'a virer ou pas ?

c:\_RESTORE\TEMP\A0035430.CPY
ET c:\RESTORE\TEMP\A0035549.CPY

tous ce qui est dans restaure , c'est pas grave ,ca veut juste dire que les spy sont toujours present dans la restauration systeme de windows

desactive la puisqu'elle est infectée de toute facon

http://www.zebulon.fr/astuces/tip52-0/Virer-la-restauration-du-systeme-sous-Win-ME.html

ensuite tu la reactive de suite apres


respasse tes log ensuite et dis nous si ils te trouvents des trucs

reposte un rapport
0
Réponse 9 / 10
Utilisateur anonyme
13 déc. 2005 à 20:05
salut ceci c:\_RESTORE\TEMP\A0035430.CPY
ET c:\RESTORE\TEMP\A0035549.CPY

represente ta restauration que tu doit desactivé apres ou avant la suppression de virus pour que c'est dernier ne se loge pas dans le dossier restore
pour desactive la resto sur Melinuim :

http://www.imageriedusport.com/Antivirus/index_wm-restore.htm

refait un scan si tout va bien reactive la en suiovant le meme chemin


pour le fichier recalcitron essay de le supprime en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume) + restauration desactivé

@++++
0
Florent
13 déc. 2005 à 20:29
Je vais suivre tout vos conseil sur l'analyse en désactivant la restauration du système.
En attendant je vous reparle de ce dont je vous avez parlé conterspy m'annonce :
1/"A Browser Helper Object (BHO) Requires Approval".

"An attempt is being made to add a Browser Helper Object.A BHO os an application that extends Internet Explorer and acts as a plug-in allowing the BHO full control of Internet Explorer "

2/"A startup program requires approval" : "An attempt is being made to add a program to your startup registry. Startup programs are loaded automatically when Windows boots up.

Name: c:\windows\cprv.exe

Dc je c pas si je bloque ou pas ces 2 messages.
Ensuite il ya tjrs le fameux message de Windows Security Center (je c pas si c un pop-up ou un réel message de Windows).Qui m'annonce que j'ai toujours "des supicious network activity on my computer" qui peuvent me voler des information des codes etc...

Je vous tient au courant pour l'après restauration.
Merci pour tout ce que vous faîtes...
0
Réponse 10 / 10
ben13010 Messages postés 3356 Date d'inscription vendredi 24 septembre 2004 Statut Contributeur Dernière intervention 5 octobre 2012 387
13 déc. 2005 à 20:51
c:\windows\cprv.exe


celui la refuse le
cprv.exe , j'ai rien trouve sur lui

1/"A Browser Helper Object (BHO) Requires Approval".

"An attempt is being made to add a Browser Helper Object.A BHO os an application that extends Internet Explorer and acts as a plug-in allowing the BHO full control of Internet Explorer "

ca refuse le aussi
ca doit etre comme le tea timer de spybot c'est a dire que des qu'une modification de registre est faite , il faut confirmer


ca doit etre pour ce bho que je t'ai fais fixer

O2 - BHO: Class - {A8995D1C-4882-29FE-B52D-2D99FF80D879} - C:\WINDOWS\WINKJ32.DLL

refuse le


la prochaine fois , desactive counter spy et tea timer avant avant de fixer


refais un hijack
si le bho reapprait tu desactive counetr spy et tea timer

ensuite tu le fixe
et tu reactive les 2 log
0

Discussions similaires

Touche "home" sur pc portable.
Mario70 -
Bezulon -

25 réponses
Animal crossing - Happy home paradise
igd -
romanebmt -

44 réponses
Home sur clavier azerty
Yondaime069 -
DAVV -

16 réponses