Infecté par spyware-secure

ladorche Messages postés 86 Statut Membre -  
papyber Messages postés 6430 Statut Contributeur sécurité -
Bonjour à tous,
Comme demandé sur les autres mess, je poste un nouveau sujet.
Donc passé avec Spybot qui le trouve, je supprime mais j'ai toujours des fenêtres intempestives qui s'ouvre.
J'ai pourtant Kério sur ma bécanne.
Merci pour vos réponses.
Configuration: Windows XP
Firefox 2.0.0.4

9 réponses

  1. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    télécharge GenProc de Jean-Chretien1 et Narco4 sur ton bureau
    http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

    dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

    Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
    poste les rapports car parfois il faut ajouter des consignes à la manip pour que cela fonctionne parfaitement
    0
    1. maximike1 Messages postés 4 Statut Membre
       
      Bonjour,
      J'ai le même problème avec spyware secure + d'autres malwares tels winantiviruspro2006, des sites de jeux en ligne qui s'ouvrent dès que je vais sur le net que ce soit avec Firefox 2.0.0.4 ou Internet 7, les 2 navigateurs que j'utilise. Spybot me les a bien détectés et éliminés contrairement à Adaware qui ne voit rien, mais ces saloperies réapparaissent dès que je retourne sur le net.
      Je n'ai pas très bien compris la manip que tu proposes, notamment la 2ème partie concernant l'utilisation de l'"aide en images" et l'"ajout des consignes à la manip".
      Merci de bien vouloir m'éclairer; je dispose de windows XP SP2, de l'antivirus avast et de spybot search and destroy à demeure.
      0
      1. papyber Messages postés 6430 Statut Contributeur sécurité 257 > maximike1 Messages postés 4 Statut Membre
         
        il faut faire un topic pour ne pas polluer celui-ci
        et tu y présenteras tes soucis ainsi qu'un rapport hijack this et ceci
        Télécharge Blacklight (le 1er de la page)
        https://europe.f-secure.com/exclude/blacklight/index.shtml


        Enregistre le sur ton Bureau.
        Double-clique fsbl.exe
        Clique sur "I ACCEPT" .
        clique Scan puis Next

        Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
        sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

        poste ce rapport dans ta prochaine réponse.
        NE PAS choisir l'option "Rename" de suite car des fichiers légitimes peuvent être présents, tel wbemtest.exe
        0
  2. ladorche Messages postés 86 Statut Membre
     
    Voila le résultat:
    Rapport GenProc 0.54 [1] effectué le 08/06/2007 à 11:50:35,84 - SystemRoot = C:\WINDOWS

    # Etape 1/ Télécharge :

    - CCleaner http://www.filehippo.com/download_ccleaner.html ("Download Latest Version", sur la droite).
    Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

    - Navipromo.zip http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip et décompresse-le sur ton bureau

    - Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
    * Fais un clic droit de souris sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
    et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
    afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU).

    ***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://docs.microsoft.com/en-us/?mfr=true (choisis ta session courante "Marco") *****

    # Etape 2/

    * lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.

    * Sélectionne l'option "Recherche et suppression automatique" en appuyant sur la touche R et en validant par entrée. Patiente.
    S'il trouve l'adware Navipromo, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

    * Relance l'outil, Sélectionne l'option "Suppression Heuristique" en appuyant sur la touche H et en validant par entrée ; patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

    * Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
    Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
    - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
    Clique sur "Execute" et laisse-le faire son travail.
    Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
    Recommence encore une fois.

    * Démarrer -> panneau de configuration -> options internet
    Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

    electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

    => Supprime-les tous

    # Etape 3/

    Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    # Etape 4/

    Redémarre normalement et poste :
    - Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe ;
    - Le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail C:\ ;

    Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
    0
  3. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    tu fais très exactement ce que demande GenProc et tu postes les rapports
    0
  4. ladorche Messages postés 86 Statut Membre
     
    Bonjour,
    Pas de difficultés particulières rencontrées. Voici les résultats.

    Rapport Navipromo.bat 0.73 effectué le 11/06/2007 à 10:13:09,89
    C:\Documents and Settings\Marco\Bureau
    L'opération se déroule en mode sans échec sous le compte "Marco"

    ** Recherche...

    1/ amyerfxdpd trouvé, recherche de amyerfxdpd*
    C:\WINDOWS\system32\amyerfxdpd.dat
    C:\WINDOWS\system32\amyerfxdpd.exe
    C:\WINDOWS\system32\amyerfxdpd_nav.dat
    C:\WINDOWS\system32\amyerfxdpd_navps.dat
    C:\WINDOWS\prefetch\AMYERFXDPD.EXE-2FBB9090.pf

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    amyerfxdpd REG_SZ c:\windows\system32\amyerfxdpd.exe amyerfxdpd

    ------------------
    Fin du rapport de recherche
    Adware Navipromo trouvé 1 fois avec cette méthode

    ################################################

    ** Nettoyage...

    1/ Déplacement de amyerfxdpd* vers C:\Navipromo\Backups...
    C:\WINDOWS\System32\amyerfxdpd* déplacé avec succès !
    C:\WINDOWS\prefetch\amyerfxdpd* déplacé avec succès

    ------------------
    * Suppression clés et valeurs de registre
    1 entrées de registre netttoyées

    * Backups :

    C:\Navipromo\Backups\amyerfxdpd.dat
    C:\Navipromo\Backups\amyerfxdpd.exe
    C:\Navipromo\Backups\AMYERFXDPD.EXE-2FBB9090.pf
    C:\Navipromo\Backups\amyerfxdpd_nav.dat
    C:\Navipromo\Backups\amyerfxdpd_navps.dat
    C:\Navipromo\Backups\ARPCache.reg
    C:\Navipromo\Backups\HKCURun.reg
    C:\Navipromo\Backups\HKLMRun.reg
    C:\Navipromo\Backups\pack.epk
    C:\Navipromo\Backups\Uninstall.reg

    Ajout d'extension .off aux backups

    ## Fin du rapport de Suppression

    -------------

    Rapport Navipromo.bat 0.73 effectué le 11/06/2007 à 10:15:15,42
    L'opération se déroule en mode sans échec sous le compte "Marco"

    ## Suppression Heuristique

    * Backups :

    Aucun résultat par la recherche heuristique

    ## Fin du rapport Heuristique

    Hijackthis:

    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 10:28:41, on 11/06/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Kerio\Personal Firewall\persfw.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Lexmark 6200 Series\lxbumon.exe
    C:\Program Files\Lexmark 6200 Series\ezprint.exe
    C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\lxbucoms.exe
    I:\Téléchargement\HiJackThis_v2.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [LXBUCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBUtime.dll,_RunDLLEntry@16
    O4 - HKLM\..\Run: [lxbumon.exe] "C:\Program Files\Lexmark 6200 Series\lxbumon.exe"
    O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
    O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 6200 Series\ezprint.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: TribalWeb.lnk = C:\Program Files\TribalWeb.net\tribalweb.exe
    O4 - Startup: TribalWeb.net.lnk = C:\Program Files\TribalWeb.net\tribalweb.exe
    O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
    O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
    O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
    O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
    O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
    O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
    O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
    O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
    O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
    O23 - Service: lxbu_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbucoms.exe
    O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
    O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
    O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    tu supprimes tout ce qu'on a utilisé, supprime les dossiers jaunes C:\Navipromo, C:\BFU, ainsi que les fichiers C:\Navipromo.txt et Navipromo.bat, puis vide ta corbeille
    passe ccleaner, nettoyeur puis erreur et supprime tout ce qu'il trouve
    faire un scan antivirus en ligne avec internet explorer et accepter l'activex
    poster le rapport ici ensuite
    https://www.bitdefender.fr/

    En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    Dans la nouvelle fenêtre, clique sur I agree
    La fenêtre change encore, clique sur Click here to scan
    Les signatures se chargent, etc.

    tuto en image
    http://pageperso.aol.fr/rginformatique/mapage/defender.htm
    0
  7. ladorche Messages postés 86 Statut Membre
     
    Après antivirus

    BitDefender Online Scanner

    Rapport d'analyse généré à: Mon, Jun 11, 2007 - 13:36:13

    Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;I:\;

    Statistiques

    Temps

    00:37:21

    Fichiers

    250419

    Directoires

    4198

    Secteurs de boot

    3

    Archives

    16907

    Paquets programmes

    6862

    Résultats

    Virus identifiés

    1

    Fichiers infectés

    1

    Fichiers suspects

    0

    Avertissements

    0

    Désinfectés

    0

    Fichiers effacés

    1

    Info sur les moteurs

    Définition virus

    512899

    Version des moteurs

    AVCORE v1.0 (build 2409) (i386) (May 9 2007 18:01:21)

    Analyse des plugins

    14

    Archive des plugins

    38

    Unpack des plugins

    6

    E-mail plugins

    6

    Système plugins

    1

    Paramètres d'analyse

    Première action

    Désinfecté

    Seconde Action

    Supprimé

    Heuristique

    Oui

    Acceptez les avertissements

    Oui

    Extensions analysées

    *;

    Excludez les extensions

    Analyse d'emails

    Oui

    Analyse des Archives

    Oui

    Analyser paquets programmes

    Oui

    Analyse des fichiers

    Oui

    Analyse de boot

    Oui

    Fichier analysé

    Statut

    I:\Téléchargement\Mailskinner_setup.exe=>(NSIS 2o)=>lzma_solid_nsis0008

    Infecté par: Trojan.Skintrim.AJ

    I:\Téléchargement\Mailskinner_setup.exe=>(NSIS 2o)=>lzma_solid_nsis0008

    Echec de la désinfection

    I:\Téléchargement\Mailskinner_setup.exe=>(NSIS 2o)=>lzma_solid_nsis0008

    Supprimé

    I:\Téléchargement\Mailskinner_setup.exe=>(NSIS 2o)

    Echec de la mise à jo
    0
  8. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    je pense que tu as compris d'où te venais ton infection
    supprime si tu le trouves
    I:\Téléchargement\Mailskinner_setup.exe

    si tout va bien supprime tout ce qu'on a utilisé car ce ne sera plus utile désormais
    conserve néanmoins ccleaner et effectue le nettoyage tous les jours avant de couper le PC

    installe ce logiciel très utile et scanne ton PC avec une fois par semaine au moins...
    AVG Antispyware
    https://www.avg.com/en-ww/free-antivirus-download

    mode d'utilisation :
    Lance AVG Anti-Spyware, mets le à jour,
    Clique sur le bouton « Analyse »
    Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
    Retour à l'onglet Analyse.
    Clique sur Analyse complète du système.
    A la fin du scan, choisis " Appliquer toutes les actions "
    Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    tu peux le coupler avec celui-ci
    spybot search and destroy
    https://www.safer-networking.org/?page=download

    défragmente

    pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet

    https://forum.pcastuces.com/default.asp

    la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...

    et bon surf
    0
    1. phildelo Messages postés 91 Statut Membre 13
       
      Bonjour à tous. Moi aussi je suis infesté. J'ai lancé Hijackthis et voilà le résultat. Si quelqu'un peut me dire ce qu est mauvais et comment iradiquer. J'ai installé quelques antispy's mais les infections du genre Sécure sont toujours là. Merci à l'avance.

      Logfile of Trend Micro HijackThis v2.0.0 (BETA)
      Scan saved at 15:09:33, on 11/06/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Windows Defender\MsMpEng.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\mom.exe
      C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Windows Defender\MSASCui.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
      C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
      C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
      C:\WINDOWS\system32\HPZipm12.exe
      C:\WINDOWS\System32\svchost.exe
      C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
      C:\WINDOWS\system32\drwtsn32.exe
      C:\WINDOWS\system32\drwtsn32.exe
      C:\WINDOWS\system32\drwtsn32.exe
      C:\WINDOWS\system32\drwtsn32.exe
      C:\WINDOWS\system32\drwtsn32.exe
      C:\WINDOWS\system32\drwtsn32.exe
      C:\WINDOWS\system32\drwtsn32.exe
      C:\WINDOWS\system32\drwtsn32.exe
      C:\WINDOWS\system32\drwtsn32.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      D:\Anti- Espions\HiJackThis_v2.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://neufportail.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = Supprimer cette entrée
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = Supprimer cette entrée
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - Supprimer cette entrée (file missing)
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
      O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
      O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -masquer
      O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
      O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
      O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
      O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
      O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
      O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
      O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
      O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
      O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
      O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
      O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
      O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
      O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
      O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
      O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
      0
      1. papyber Messages postés 6430 Statut Contributeur sécurité 257 > phildelo Messages postés 91 Statut Membre
         
        crée ton propre topic car ce sera plus facile à t'aider
        0
      2. phildelo Messages postés 91 Statut Membre 13 > papyber Messages postés 6430 Statut Contributeur sécurité
         
        Bonsoir papyber. Je pensais l'avoir fait en me mêlant à la conversation. Bon voici le résultat d'Hijackthis. Mes pages s'en vont, tout se bloque, je suis obligé de faire Ctrl + Alt +Suppr et là tout s'en va, plus rien, obligé de recommencer. C'est pourquoi en cherchant j'ai téléchargé et lancé Hijackthis. En espérant que quelq'un me vienne en aide. Merci d'avance.

        Logfile of Trend Micro HijackThis v2.0.0 (BETA)
        Scan saved at 15:09:33, on 11/06/2007
        Platform: Windows XP SP2 (WinNT 5.01.2600)
        Boot mode: Normal

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\Ati2evxx.exe
        C:\WINDOWS\system32\svchost.exe
        C:\Program Files\Windows Defender\MsMpEng.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\Ati2evxx.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\mom.exe
        C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
        C:\WINDOWS\Explorer.EXE
        C:\Program Files\Windows Defender\MSASCui.exe
        C:\WINDOWS\system32\ctfmon.exe
        C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
        C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
        C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
        C:\WINDOWS\system32\HPZipm12.exe
        C:\WINDOWS\System32\svchost.exe
        C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
        C:\WINDOWS\system32\drwtsn32.exe
        C:\WINDOWS\system32\drwtsn32.exe
        C:\WINDOWS\system32\drwtsn32.exe
        C:\WINDOWS\system32\drwtsn32.exe
        C:\WINDOWS\system32\drwtsn32.exe
        C:\WINDOWS\system32\drwtsn32.exe
        C:\WINDOWS\system32\drwtsn32.exe
        C:\WINDOWS\system32\drwtsn32.exe
        C:\WINDOWS\system32\drwtsn32.exe
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        D:\Anti- Espions\HiJackThis_v2.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://neufportail.fr/
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = Supprimer cette entrée
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = Supprimer cette entrée
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
        O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
        O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
        O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
        O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - Supprimer cette entrée (file missing)
        O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
        O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
        O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
        O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
        O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
        O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -masquer
        O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
        O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
        O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
        O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
        O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
        O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
        O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
        O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
        O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
        O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
        O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
        O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
        O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
        O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
        O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
        O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
        O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
        O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
        O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
        O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
        O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
        O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
        O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
        O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
        O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
        O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
        O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
        O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
        0
      3. papyber Messages postés 6430 Statut Contributeur sécurité 257 > phildelo Messages postés 91 Statut Membre
         
        est ce toi qui a ajouté les inscriptions
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = Supprimer cette entrée

        prends cet hijack
        il s'installe directement là où il faut et ce n'est pas une version bêta
        et supprime ta version bêta

        1/télécharge et installe le logiciel HijackThis v1.99.1
        http://pchelpbordeaux.free.fr/logiciels.html
        Tutorial
        http://pchelpbordeaux.free.fr/tuto.html

        2/télécharge AVG Antispyware
        https://www.avg.com/en-ww/free-antivirus-download

        mode d'utilisation :
        Lance AVG Anti-Spyware, mets le à jour,
        Clique sur le bouton « Analyse » onglet « paramètres »
        Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
        Retour à l'onglet Analyse.
        Clique sur Analyse complète du système.
        A la fin du scan, choisis " Appliquer toutes les actions "
        Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

        3/ Télécharge : - CCleaner
        https://www.pcastuces.com/logitheque/ccleaner.htm
        ("Download Latest Version", sur la droite).
        Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

        4/ lance ccleaner , nettoyeur, et supprime tout ce qu'il trouve

        5/ lance avg antispyware et supprime tout ce qu'il trouve et poste son rapport

        6/ lance hijack this et poste le rapport
        0
  9. drassS Messages postés 1 Date d'inscription   Statut Membre Dernière intervention  
     
    WINDOWS VISTA
    jai recu un msg com quoi mon ordi etai infecté et ma di de telecharger spyware securemai bitdefender a detecter un virus venan de ce programme
    depui je ne peu pa le desinstaller et d'autre fenetre s'ouvrent sur internet pr que je telecharge d'autre logiciel de securité
    commen desinstallé spyware car quandj'essaye j'ai un message qui me di que je n'est pas l'autorisation
    merci d'avance
    0
  10. ladorche Messages postés 86 Statut Membre
     
    Merci beaucoup pour ton aide. J'ai trouvé le fichier incriminé et je l'ai viré.
    Je ferai encore plus attention maintenant.
    0