[ spyware ] Impossible a mettre au "clou&quot

steinerfl Messages postés 78 Statut Membre -  
Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   -
Bonjours, (je vais essayer de rester le plus calme possible)

Je m'en rappel plus trop quois j'ai voulu installer, et plein de spam, pub se sont mis sur ce PC, puis j'ai lancer Anti Spyware BETA1 (microsoft), j'en est éliminer une partie, mais beta 1 l'as bien entendu rater 1, j'ai relancer le test, rien ! Alors j'ai telecharger Ad-aware, il m'e l'as trouver, (meme d'autre dailleur) mais quand je met en quaranteine, c'est comme si il y resortait, puis quand je met delete, ce *** de spam de ***** vient re foutre sa *****, (dslé mé sa m'enerve), au fait sa marque impossible de supprimer, fermer tout les fentres, bien jolis, mais tout est fermer, pis quand je clique sur ok, une fenetre s'ouvre ! J'ai essayer de supprimer a main nue, rien, que dalle, enfin, ce fichier est utiliser par une autre application, machin, truc et bidulle.

le spam qui s'ouvre tjr est, http://www.announceme-nt.com/tau.html , la base de se spyware de ***** est dans c:\windows\system32\n6180g3ve6.dll ,

*HELP ME PLEASE*
Merci.....
Configuration: Windows XP , Ad-aware, avast, Microsoft anti-spyware beta1

35 réponses

  • 1
  • 2
Résumé de la discussion

Une infection de type spyware s'est manifestée sur un PC sous Windows XP, avec des pop-ups et des pages indésirables réapparaissant malgré des scans avec Ad-aware et Avast. Les conseils essentiels proposent de supprimer les DLL malveillantes dans system32, nettoyer les entrées de registre et RunOnce, puis exécuter L2MFix afin de restaurer les droits et supprimer les composants résidents. Des éléments de log et des extraits de HiJackThis illustrent l'étendue de l'infection et la nécessité d'une suppression complète des fichiers et des extensions associées. En cas de persistance, des sauvegardes de registres arrière et une recomposition manuelle des entrées éventuelles peuvent s'avérer nécessaires.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonsoir ,

    Dans un premier temps, fait déja tout cela :

    (1) Ccleaner :
    Télécharge Ccleaner ici :
    https://www.ccleaner.com/ccleaner/download

    Tutorial ici:
    https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

    (2) Ewido
    http://download.ewido.net/ewido-setup.exe
    Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite. Clique sur mise à jour.

    Clique sur scanner puis sur scan complet du système.

    (3) Pour vérifier, scanne ton PC avec cet antivirus en ligne :
    https://www.bitdefender.com/toolbox/

    (4) télécharge HijackThis ici:
    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Lance le puis:
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum

    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Bon courage

    A+
    0
  2. steinerfl Messages postés 78 Statut Membre 1
     
    0_0 dacord, mais j'ai remarquer dans l'autre topic, j'ai aussi le look2me qui s'affiche comme nom, j'ai essayer sa, je vais voir si sela fonctionne, euh, ba non, bon ba je vias le faire, merci
    0
  3. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Re,

    Fait déja tout cela, on s'occupera de look2me après.

    Bon courage.

    A+
    0
  4. steinerfl Messages postés 78 Statut Membre 1
     
    merci... au fait ewido c'est limiter combien de jour, car il m'as detecter deja 10 fichier !?

    merci mille fois
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Re,

    Ewido est gratuit, pas limité dans le temps.

    A+
    0
  7. steinerfl Messages postés 78 Statut Membre 1
     
    a 14 j.
    0
  8. steinerfl Messages postés 78 Statut Membre 1
     
    MmmmMmmh bizard, vous etes sur que c'est pas venu payant, car moi sa a mis 14j
    0
  9. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Au bout de 14 jours, la protection temps réel et la mise à jour Automatique sont inactives, mais la mise à jour manuelle est toujours possible ainsi que l'utilisation d'Ewido.

    A+
    0
    1. steinerfl Messages postés 78 Statut Membre 1
       
      MmmMMmmmh, cool :-P vais bien m'amuser
      0
  10. steinerfl Messages postés 78 Statut Membre 1
     
    c'est partit pour une 10 aine d'année de scan, lol, c long...
    0
  11. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bon courage.

    Bonne nuit et à demain pour killer du look2me !

    0
  12. steinerfl Messages postés 78 Statut Membre 1
     
    MDR! merci ;-) .

    Me demande si je vais pas aller me prendre la caftière, a oui, et la tasse !
    0
  13. steinerfl Messages postés 78 Statut Membre 1
     
    ya ducon de ewido machin ki a buger, bill gates si je doit a le croiser je lui dirait kil me fait ***** avec son XP de *****
    0
  14. steinerfl Messages postés 78 Statut Membre 1
     
    apparement, je suis pas le seul a avoir ce type de bug, j'éspère que ces antivirus vons trouver (un jour) une solution qui rentre dans le scan sans devoir telecharger mille et une chosees !
    0
  15. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    Slt,

    Qu'est ce que tu as comme problème ?

    A+
    0
  16. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonjour Steinerfl
    Salut Seb ;-)

    Steinerfl fais le hijackthis et reste cool, ça ne sert à rien de s'énerver.

    A+
    0
  17. steinerfl Messages postés 78 Statut Membre 1
     
    J'en suis au (2) est il est toujour la, meme pas eu le temp de lancer le scan, lol, je fais la suite...
    0
  18. steinerfl Messages postés 78 Statut Membre 1
     
    voila: mais le spyware de pub est tjr la, puisque mnt il me coupe ce que j'éctir^^
    0
  19. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonjour,

    telecharge SmitfraudFix

    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.

    voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php

    Ensuite
    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    Relance le programme Smitfraud,
    Cette fois choisit l’option 2, répond oui a toutes les questions.
    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

    Relance hijackthis et colle un nouveau log ici.

    Bon courage.

    A+
    0
  20. steinerfl Messages postés 78 Statut Membre 1
     
    San redemarrage:

    SmitFraudFix v2.53

    Rapport fait à 18:18:15.48, 03.06.2006
    Executé à partir de C:\Documents and Settings\Florian steiner\Bureau\No spyware 1\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    C:\defender??.exe PRESENT !
    C:\keyboard??.exe PRESENT !
    C:\newname??.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Florian steiner\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\FLORIA~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    (encore emrci mille fois)
    0
  21. steinerfl Messages postés 78 Statut Membre 1
     
    wow, sa fait trop bizard, bon, mode: sans echec: SmitFaudSchmit (qqchose du genre) : rapport:

    SmitFraudFix v2.53

    Rapport fait à 18:25:29.75, 03.06.2006
    Executé à partir de C:\Documents and Settings\Florian steiner\Bureau\No spyware 1\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\defender??.exe supprimé
    C:\keyboard??.exe supprimé
    C:\newname??.exe supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    ---
    et hijjack en mode sans echec :

    Logfile of HijackThis v1.99.1
    Scan saved at 18:27:11, on 03.06.2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\explorer.exe
    C:\Hijack_no_spyware\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=userinit.exe
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
    O4 - HKLM\..\Run: [MessengerPlus3] "D:\\MsgPlus.exe"
    O4 - HKLM\..\Run: [services] c:\WINDOWS\system32\Microsoft\security\services.exe
    O4 - HKLM\..\Run: [FORANTETRANSBASE] C:\Documents and Settings\All Users.WINDOWS\Application Data\thunk corn for ante\Ante Trust.exe
    O4 - HKLM\..\Run: [Picasa Media Detector] D:\Picasa2\PicasaMediaDetector.exe
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [PicasaNet] "D:\Hello\Hello.exe" -b
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [gcasServ] "D:\gcasServ.exe"
    O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunesHelper.exe"
    O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\CLONER\VirtualCloneDrive\VCDDaemon.exe" /s
    O4 - HKLM\..\Run: [EoEngine] "D:\eoEXE\eoRezo\EoEngine.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Program Files\Logitech\Profiler\lwemon.exe" /noui
    O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe"
    O4 - Startup: MSN Pictures Displayer.lnk = D:\MSN Pictures Displayer\MSN Pictures Displayer.exe
    O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe
    O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe
    O4 - Startup: Y'z Toolbar.lnk = ?
    O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://support.norton.com/sp/en/us/home/current/info
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by13fd.bay13.hotmail.msn.com/resources/MsnPUpld.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_s...
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_sit...
    O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://support.norton.com/sp/en/us/home/current/info
    O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by13fd.bay13.hotmail.msn.com/activex/HMAtchmt.ocx
    O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
    O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\k6440ghqe64e0.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: ewido security suite control - ewido networks - D:\Spyware_detect\ewido anti-malware\ewidoctrl.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - D:\iPod\bin\iPodService.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner - C:\Program Files\Norton AntiVirus\navapsvc.exe (file missing)
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    0
  • 1
  • 2