Sujet Précédent Sujet Suivant

Infection spyware

Fermé
patrick1969 Messages postés 4 Date d'inscription lundi 25 septembre 2006 Statut Membre Dernière intervention 28 septembre 2006 - 25 sept. 2006 à 16:15
incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 - 29 sept. 2006 à 18:29
Bonjour, j'ai acheté un nouveau PC depuis peu et depuis que j'ai ma connection internet, je n'ai pas eu le temps d'installer un anti virus et je reçoit régulièrement des messages me disant que j'ai des erreurs dans le registre. En fait ces messages me signifient que je dois aller sur la page www.critycalregistryfix.com. Bien sur après avoir installé le programme je dois m'enregistrer et payer une licence. Il est évident qu'il s'agit d'une grosse arnaque et que mon PC est clean. Cerpendant je n'arrive pas à me débarrasser de cette saloperie (message d'alerte toutes les 10 minutes..) Pour info j'ai déjà eu ce genre de truc précedemment maid dur de l'avoir. Voici la liste hijacklist :
Logfile of HijackThis v1.99.1
Scan saved at 16:14:16, on 25/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: Yahoo! Hearts - http://download2.games.yahoo.com/games/clients/y/ht1_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download2.games.yahoo.com/games/clients/y/poti_x.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://www.msn.com/fr-fr/
O17 - HKLM\System\CCS\Services\Tcpip\..\{15EF1958-2F4F-4D45-8AF4-7F8596199A58}: NameServer = 212.87.96.9 194.7.45.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{15EF1958-2F4F-4D45-8AF4-7F8596199A58}: NameServer = 212.87.96.9 194.7.45.25
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
A voir également:

4 réponses

Réponse 1 / 4
incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
25 sept. 2006 à 19:27
Bonsoir Patrick,

On va faire quelques recherches avec Blacklight=>

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

https://www.f-secure.com/en

Pour cela clique sur le bouton « I ACCEPT » et enfin sur « Download Blacklight Beta »

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents.

Bon courage.

A+
0
Réponse 2 / 4
patrick1969 Messages postés 4 Date d'inscription lundi 25 septembre 2006 Statut Membre Dernière intervention 28 septembre 2006
26 sept. 2006 à 10:07
Merci pour ta réponse rapide je t'envoie cela dès que possible..
Patrick
0
patrick1969 Messages postés 4 Date d'inscription lundi 25 septembre 2006 Statut Membre Dernière intervention 28 septembre 2006
26 sept. 2006 à 17:57
Voilà le résultat :

09/26/06 17:54:17 [Info]: BlackLight Engine 1.0.46 initialized
09/26/06 17:54:17 [Info]: OS: 5.1 build 2600 (Service Pack 1)
09/26/06 17:54:18 [Note]: 7019 4
09/26/06 17:54:18 [Note]: 7005 0
09/26/06 17:54:21 [Note]: 7006 0
09/26/06 17:54:21 [Note]: 7011 1232
09/26/06 17:54:22 [Note]: 7026 0
09/26/06 17:54:22 [Note]: 7026 0
09/26/06 17:54:28 [Note]: FSRAW library version 1.7.1019
09/26/06 17:55:26 [Note]: 7007 0

cependant le fichier fsblxxxxxx se met sur le bureau vant que l'analyse soit lancée. Est ce normal?
Merci
0
Réponse 3 / 4
incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
26 sept. 2006 à 19:20
Bonsoir Patrick,

Ton log hijackthis est ok, ton log Blacklight est ok ... reste peut etre une chose :

1 - Va dans le Menu Démarrer/Panneau de Configuration/Outils d'administration/Services
Dans la fenêtre qui s'ouvre, double-clique sur la ligne "Affichage des messages".
Dans le champ "Type de démarrage" de l'onglet "Général", sélectionne "Desactivé".
Clique sur "Arrêter".
Clique ensuite sur "OK" pour valider la configuration.

2 - Ewido
http://download.ewido.net/ewido-setup.exe
Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite. Clique sur mise à jour.
Ouvre ewido et clic sur l'onglet Settings, pour How to Act sélèctionne Quarantine.
Clique sur scanner puis sur scan complet du système.
A la fin cliquer sur Apply all actions
Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

Coller le rapport dans votre prochaine réponse.

Bon courage.

A+
0
patrick1969 Messages postés 4 Date d'inscription lundi 25 septembre 2006 Statut Membre Dernière intervention 28 septembre 2006
28 sept. 2006 à 15:29
Encore merci pour ta réponse voici le rapport :
(Pour info, depuis que j'ai désactivé l'affichage des messages, les intrus ne semblent plus venir, mais je suppose que cela ne fait que les masquer)
---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 15:22:36 28/09/2006

+ Scan result:



HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@247realmedia[1].txt -> TrackingCookie.247realmedia : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@2o7[1].txt -> TrackingCookie.2o7 : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@adbrite[2].txt -> TrackingCookie.Adbrite : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@adtech[1].txt -> TrackingCookie.Adtech : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[1].txt -> TrackingCookie.Bluestreak : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@cz4.clickzs[1].txt -> TrackingCookie.Clickzs : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@com[1].txt -> TrackingCookie.Com : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@fl01.ct2.comclick[2].txt -> TrackingCookie.Comclick : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@estat[1].txt -> TrackingCookie.Estat : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@as-eu.falkag[2].txt -> TrackingCookie.Falkag : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@as1.falkag[2].txt -> TrackingCookie.Falkag : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ivwbox[1].txt -> TrackingCookie.Ivwbox : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@revenue[1].txt -> TrackingCookie.Revenue : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@serving-sys[1].txt -> TrackingCookie.Serving-sys : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt -> TrackingCookie.Weborama : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@zedo[1].txt -> TrackingCookie.Zedo : No action taken.


::Report end
0
Réponse 4 / 4
incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
29 sept. 2006 à 18:29
Bonsoir Patrick,

Ouvre ewido et clic sur l'onglet Settings, pour How to Act sélèctionne Delete.
Clique sur scanner puis sur scan complet du système.
A la fin cliquer sur Apply all actions

En faites ses sales bestioles profitent que le service "affichage des messages" soit activé pour t'envoyer des messages alarmistes.

Bon week end.

0

Discussions similaires

Trojan alerte
Titou43 -
gen-hackman -

23 réponses
Problème Virus Trojan
jmpower -
bazfile -

4 réponses
Windows defender: avertissement de sécurité
surfinia -
Tchoumi -

20 réponses