[spyware] toujours presents aprés suppression

Résolu
bonaparte 62 Messages postés 118 Statut Membre -  
papyber Messages postés 6430 Statut Contributeur sécurité -
bonjour,
alors voila un moment que j'utilise spybot et je viens de voir que je trouve a chaque fois les mêmes problèmes. En effet même après avoir supprimer les spywares ils sont toujours présents :
première analyse :
http://img238.imageshack.us/img238/5919/spybotzx9.jpg

deuxième analyse quelques minutes plus tard:
http://img114.imageshack.us/img114/2607/spybot2oc3.jpg
il y a même des petits nouveaux
faut-il que je m'inquiete ? y a t il des logiciels autre qui pourraient tout enlever et comment eviter qu'ils ne reviennent aprés les avoir supprimer?
merci ;)
Configuration: Windows XP
Firefox 2.0.0.3
zone alarm
avast

12 réponses

  1. bonaparte 62 Messages postés 118 Statut Membre 2
     
    sur firefox j'ai adblock plus et j'ai mis les sites comme fr.systemdoctor.com ou fr.errorsafe.com dans les filtres.
    est ce que cela suffira a ne plus voir leur presence sur mon PC?
    0
  2. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    télécharge GenProc de Jean-Chretien1 et Narco4 sur ton bureau
    http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

    dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

    Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
    0
  3. bonaparte 62 Messages postés 118 Statut Membre 2
     
    le voici :

    Rapport GenProc 0.39 effectué le 10/04/2007 à 18:55:55,96 - SystemRoot = C:\WINDOWS

    Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

    # Etape 1/ Télécharge :

    - Navipromo.zip http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip et décompresse-le sur ton bureau

    - Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
    * Fais un clic droit de souris sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
    et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
    afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU).

    ***** Copie ce qui suit dans un fichier texte et redÚmarre en mode sans Úchec comme indiquÚ ici https://docs.microsoft.com/en-us/?mfr=true (choisis ta session courante "Propriétaire") *****

    # Etape 2/

    * lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.

    * Sélectionne l'option "Recherche et suppression automatique" en appuyant sur la touche R et en validant par entrée. Patiente.
    S'il trouve l'adware Navipromo, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

    * Relance l'outil, Sélectionne l'option "Suppression Heuristique" en appuyant sur la touche H et en validant par entrée ; patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

    * Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
    Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
    - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
    Clique sur "Execute" et laisse-le faire son travail.
    Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
    Recommence encore une fois.

    * Démarrer -> panneau de configuration -> options internet
    Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

    electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

    => Supprime-les tous

    # Etape 3/

    Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    # Etape 4/

    Redémarre normalement et poste :
    - Un nouveau rapport HijackThis, toutes fenêtres et applications fermées si tu ne l'as pas tu trouveras HijackThis ici http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe ;
    - Le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail C:\ ;

    Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. bonaparte 62 Messages postés 118 Statut Membre 2
     
    voici les rapports :

    Rapport Navipromo.bat 0.73 effectué le 10/04/2007 à 19:11:44,93
    C:\Documents and Settings\Propri‚taire\Bureau\Navipromo073
    L'opération se déroule en mode sans échec sous le compte "Propri‚taire"

    ** Recherche...

    1/ zxoaxau trouvé, recherche de zxoaxau*
    C:\WINDOWS\system32\zxoaxau.dat
    C:\WINDOWS\system32\zxoaxau.exe
    C:\WINDOWS\system32\zxoaxau_nav.dat
    C:\WINDOWS\system32\zxoaxau_navps.dat
    C:\WINDOWS\prefetch\ZXOAXAU.EXE-0991EF63.pf

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    zxoaxau REG_SZ c:\windows\system32\zxoaxau.exe zxoaxau

    ------------------
    2/ dbsqgfemcb trouvé, recherche de dbsqgfemcb*
    C:\WINDOWS\system32\dbsqgfemcb.dat
    C:\WINDOWS\system32\dbsqgfemcb.exe
    C:\WINDOWS\system32\dbsqgfemcb_nav.dat
    C:\WINDOWS\system32\dbsqgfemcb_navps.dat

    ------------------
    Fin du rapport de recherche
    Adware Navipromo trouvé 2 fois avec cette méthode

    ################################################

    ** Nettoyage...

    1/ Déplacement de zxoaxau* vers C:\Navipromo\Backups...
    C:\WINDOWS\System32\zxoaxau* déplacé avec succès !
    C:\WINDOWS\prefetch\zxoaxau* déplacé avec succès

    ------------------
    2/ Déplacement de dbsqgfemcb* vers C:\Navipromo\Backups...
    C:\WINDOWS\System32\dbsqgfemcb* déplacé avec succès !

    ------------------
    * Suppression clés et valeurs de registre
    1 entrées de registre netttoyées

    * Backups :

    C:\Navipromo\Backups\ARPCache.reg
    C:\Navipromo\Backups\dbsqgfemcb.dat
    C:\Navipromo\Backups\dbsqgfemcb.exe
    C:\Navipromo\Backups\dbsqgfemcb_nav.dat
    C:\Navipromo\Backups\dbsqgfemcb_navps.dat
    C:\Navipromo\Backups\HKCURun.reg
    C:\Navipromo\Backups\HKLMRun.reg
    C:\Navipromo\Backups\pack.epk
    C:\Navipromo\Backups\Uninstall.reg
    C:\Navipromo\Backups\zxoaxau.dat
    C:\Navipromo\Backups\zxoaxau.exe
    C:\Navipromo\Backups\ZXOAXAU.EXE-0991EF63.pf
    C:\Navipromo\Backups\zxoaxau_nav.dat
    C:\Navipromo\Backups\zxoaxau_navps.dat

    Ajout d'extension .off aux backups

    ## Fin du rapport de Suppression

    -------------

    Rapport Navipromo.bat 0.73 effectué le 10/04/2007 à 19:12:29,60
    L'opération se déroule en mode sans échec sous le compte "Propri‚taire"

    ## Suppression Heuristique

    * Backups :

    Aucun résultat par la recherche heuristique

    ## Fin du rapport Heuristique

    et voici l'autre :
    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 19:22:08, on 10/04/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Propriétaire\Mes documents\Mes telechargements\HiJackThis_v2.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr10.hpwis.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.prizee.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr10.hpwis.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\hpdtlk02.dll
    O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\RunOnce: [FFTI] C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\3bgl4l7h.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles/3bgl4l7h.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
    O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
    O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
    O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
    0
  6. bonaparte 62 Messages postés 118 Statut Membre 2
     
    aprés ca je dois faire quoi ?
    0
  7. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    lance hijack pour un scan et coche ces lignes
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

    ferme toutes tes fenêtres y compris internet et clic sur fixer l'objet

    as tu encore des soucis?

    tu supprimes tout ce qu'on a utilisé, supprime les dossiers jaunes C:\Navipromo, C:\BFU, ainsi que les fichiers C:\Navipromo.txt et Navipromo.bat, et GenProc puis vide ta corbeille

    supprime tout ce qu'on a utilisé car ce ne sera plus utile désormais
    passe un coup de ccleaner

    faire un scan antivirus en ligne avec internet explorer et accepter l'activex
    poster le rapport ici ensuite
    https://www.bitdefender.fr/

    En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    Dans la nouvelle fenêtre, clique sur I agree
    La fenêtre change encore, clique sur Click here to scan
    Les signatures se chargent, etc.

    tuto en image
    http://pageperso.aol.fr/rginformatique/mapage/defender.htm
    0
    1. bonaparte 62 Messages postés 118 Statut Membre 2
       
      les rapports de bitdefender :
      http://img260.imageshack.us/img260/2684/defender1ww2.jpg
      http://img158.imageshack.us/img158/628/defender2tv2.jpg

      pour le moment pas de souci ca a l'air d'aller ;)
      merci
      0
  8. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    si tout va bien supprime tout ce qu'on a utilisé car ce ne sera plus utile désormais
    conserve néanmoins ccleaner et effectue le nettoyage tous les jours avant de couper le PC

    installe ce logiciel très utile et scanne ton PC avec une fois par semaine au moins...
    AVG Antispyware
    https://www.avg.com/en-ww/free-antivirus-download

    mode d'utilisation :
    Lance AVG Anti-Spyware, mets le à jour,
    Clique sur le bouton « Analyse »
    Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
    Retour à l'onglet Analyse.
    Clique sur Analyse complète du système.
    A la fin du scan, choisis " Appliquer toutes les actions "
    Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
    ne laisse pas le résident car à la fin de la période d'essai, tu ne pourras plus t'en servir mais tu pourras toujours faire les mises à jour avant de scanner

    tu peux le coupler avec celui-ci
    spybot search and destroy
    https://www.safer-networking.org/?page=download

    défragmente

    pense à bien te protéger
    j'ai découvert ce lien qui est plutôt pas mal à ce sujet
    https://forum.pcastuces.com/default.asp

    et bon surf
    0
  9. bonaparte 62 Messages postés 118 Statut Membre 2
     
    merci des conseils mais est ce que avg antispyware c'est la meme chose que ad-aware ?
    ++
    0
  10. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    non, ils sont complémentaires et pour tout te dire, j'ai supprimé ad adaware pour ne conserver que spybot associé à spyware blaster et AVG antispyware + mon antivirus et mon pare feu, et je m'en porte parfaitement...
    0
  11. bonaparte 62 Messages postés 118 Statut Membre 2
     
    ok encore merci a et bientot ;)
    0
    1. bonaparte 62 Messages postés 118 Statut Membre 2
       
      une derniere question : y a t il un ordre a respecter par exemple :
      spybot => AVG => ccleaner => ...
      et aussi a quoi sert, la defragmentation a accéléré le pc ?
      0
  12. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    ccleaner en 1er car il nettoie les fichiers "temp" et les cookies
    ensuite au choix, moi je fais spybot puis avg après avoir mis à jour
    la défragmentation sert à optimiser et accélérer le PC effectivement
    0