Sujet Précédent Sujet Suivant

Suppression de troj/winspy.c

Résolu/Fermé
corsu61 Messages postés 37 Date d'inscription mardi 18 septembre 2007 Statut Membre Dernière intervention 5 novembre 2008 - 19 oct. 2007 à 21:21
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 25 oct. 2007 à 18:37
Bonjour,

apparemment, après de nombreuses recherches,et ayant des problèmes avec une icone persistante de win-spy shareware, j'ai téléchargé l'antivirus SOPHOS. Après l'avoir lancé en ayant pris soin de tout cocher sur son futur travail, j'ai eu la surprise, après la fin du scan de voir disparaitre la fameuse icone qui me pourrissait la vie depuis pas mal de temps (voir mes post...)
De plus, chose curieuse, jai également retrouvé dans ma catégorie "Outils" mes options de dossiers que j'avais perdues.!!

Mais ce n'est pas encore la panacée car je n'ai toujours pas la possibilité de retrouver mes fichiers cachés car à la place de ce choix, le tableau me propose : après avoir fait "options de dossiers", puis affichage, je n'ai pas "afficher les fichiers cachés", mais "gestion de paires de pages web et de dossiers"...
???
Quelqu'un peut -il m'aiguiller ? merci.
Ca serait sympa car je laisse des post pour des problemes mais je n'ai que très rarement des réponses.....
A voir également:

36 réponses

Précédent
  • 1
  • 2
Réponse 21 / 36
corsu61
24 oct. 2007 à 13:53
Bonjour,

heureux que tu sois toujours là... lol

bon , alors dans l'ordre, :

1. - J'ai fait comme tu m'as dit un premier hijacthis avec scan only
2. - rogue remover m'indique "félicitations, aucun mouchard detecté"
3. - j'ai installé clean, j'ai suivi les instructions et je me suis mis en mode sans échec. Il m'indique : envoyer le fichier "C:\upload_moi_xpsp2-3A927E488.tar.gz car il est peut etre infecté, mais j'ai essayé et ca ne voulait pas (serveur introuvable)
4. - J'ai passé CCLEANER
5. - J'ai passé hijacthis (toujours en mode sans échec) et voici le rapport :


Scan saved at 13:39:49, on 24/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
D:\ANTIVIRUS AVAST\AVG ANTI SPYWARE\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\HIJACKTHIS\EDEN.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avast!] D:\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\ANTIVIRUS AVAST\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\ANTIVIRUS AVAST\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\ANTIVIRUS AVAST\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\ANTIVIRUS AVAST\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\ANTIVIRUS AVAST\AVG ANTI SPYWARE\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
0
Réponse 22 / 36
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
24 oct. 2007 à 15:40
ton rapport est bon!!!



je te conseille de remplacer avast par antivir plus efficace

et de remplacer le parefeu de windows par un vrai parefeu comme indiqué en dessous

voilà!

si pb tu dis a plus







pour protéger gratos ton ordi

securite

mettre un antivirus

AVAST en français ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions:

AD AWARE + SPYBOT + WINDOWS DEFENDER ou SPYWARE TERMINATOR

+/-
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...


--------
un pare feu :
celui de Windows ou mieux KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
zonealarm

-----------

CCLEANER pour effacer les traces de surf
0
Réponse 23 / 36
corsu61
24 oct. 2007 à 18:08
Bonjour,

merci pour tout ! t'es vraiment un pro !!! j'espère que ca va servir à d'autres sur le web
une autre question pour une fois que j'en tiens un qui va bien... lol

je n'ai toujours pas accès dans "outils" à la fonction "afficher les fichiers cachés", ca me met à la place " gestion de paires de pages web et de dossiers" donc je ne peux plus accéder à mes fichiers cachés. As tu une solution ??
0
Réponse 24 / 36
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
24 oct. 2007 à 19:51
pour afficher les dossiers et fichiers cachés du système:
Panneau de configuration/Options des dossiers/onglet Affichage/cocher Afficher les fichiers et dossiers cachés, décocher Masquer les extensions de fichiers connus, décocher Masquer les fichiers protégés du Système .



Les fichiers et dossiers cachés du système apparaissent alors dans l'explorateur Windows en transparence.

____________________

sinon

essaye de voir avec ca si ca regle tes pbs:

http://perso.orange.fr/astwinds/astuces/fichiers_caches.html
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 36
corsu61
24 oct. 2007 à 20:25
Bonjour,

oui, je te remercie mais je connais ca, mais ce que je voulais dire c'est que entre "afficher une vue simple...." et "Gestion de paires de pages...", la possibilité de "gestion des dossiers cachés" n'existe pas ou plus. As tu une solution ?
0
Réponse 26 / 36
corsu61
24 oct. 2007 à 20:31
Bonjour,

J'ai vérifié et fait comme tu m'as dit mais ca ne marche pas. J'ai toujours dans mes documents 2 fichiers cachés que je n'arrive pas à voir...
0
Réponse 27 / 36
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
24 oct. 2007 à 20:43
c'est quoi ces fichiers cachés : tu as les noms : tu veux les virer ou les voir?
il ont été cryptés par un logiciels?











Fichiers et dossiers cachés et masqués par le système

Le système cache par défaut certains fichiers et dossiers afin d'éviter leur suppression intempestive ou son remplacement par un fichier infecté/corrompu. Pour les afficher:

* Explorateur Windows - menu Outils - Options des dossiers.

* Sous l'onglet Affichage, activer l'entrée Afficher les dossiers et fichiers cachés

* Pour afficher les fichiers très sensibles, décocher l'entrée Masquer les fichiers protégés du système (recommandé) et cliquer sur OK dans la boîte d'avertissement. Il est recommandé de réactiver cette option après être intervenu dans le système
0
Réponse 28 / 36
corsu61
24 oct. 2007 à 21:43
Bonjour,

AU FAIT, sur tes conseils , j'ai désactivé avast et installé antivir et fait un scan. Il vient de me trouver un trojan identifié comme :
TR/SPY.WINSPY.BL.1

Je viens de le mettre en quarantaine. j'espère que ca suffira. Qu'en penses tu ? faut-il plutot le supprimer ?
0
Réponse 29 / 36
corsu61
24 oct. 2007 à 21:45
Bonjour,
non, c'est des fichiers perso
0
Réponse 30 / 36
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
24 oct. 2007 à 22:24
non en quarataine c'est bon
0
Réponse 31 / 36
corsu61
24 oct. 2007 à 22:38
est-ce normal qu'après etre mis en quarantaine, je repasse antivir et il me le retrouve et me redemande s'il doit etre mis en quarantaine ??
0
Réponse 32 / 36
corsu61
24 oct. 2007 à 23:12
Bonjour,

désolé de t'ennuyer, mais je préfère te demander ton conseil, voici le résultat du scan d'antivir :


AntiVir PersonalEdition Classic
Report file date: mercredi 24 octobre 2007 21:47

Scanning for 902036 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: SYSTEM
Computer name: XPSP2-3A927E488

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 13:26:55
ANTIVIR2.VDF : 7.0.0.91 687104 Bytes 16/10/2007 16:36:09
ANTIVIR3.VDF : 7.0.0.129 249344 Bytes 24/10/2007 16:36:09
AVEWIN32.DLL : 7.6.0.27 3019264 Bytes 24/10/2007 16:36:09
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 07:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: J:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mercredi 24 octobre 2007 21:47

Starting search for hidden objects.
'36451' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned
Scan process 'WLLoginProxy.exe' - '1' Module(s) have been scanned
Scan process 'uwdf.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'FxSvr2.exe' - '1' Module(s) have been scanned
Scan process 'lxbkbmon.exe' - '1' Module(s) have been scanned
Scan process 'qttask.exe' - '1' Module(s) have been scanned
Scan process 'PDVDServ.exe' - '1' Module(s) have been scanned
Scan process 'daemon.exe' - '1' Module(s) have been scanned
Scan process 'lxbkbmgr.exe' - '1' Module(s) have been scanned
Scan process 'LogiTray.exe' - '1' Module(s) have been scanned
Scan process 'LVCOMSX.EXE' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'slserv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'HPZipm12.exe' - '1' Module(s) have been scanned
Scan process 'LEXPPS.EXE' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'LEXBCES.EXE' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
38 processes with 38 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!
Master boot sector HD1
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD2
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD3
[NOTE] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Boot sector 'J:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '27' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\System Volume Information\_restore{1CF1B163-87E1-42EE-AACF-E10B0270F0A6}\RP3\A0001315.exe
[DETECTION] Is the Trojan horse TR/Spy.WinSpy.BL.1
[INFO] The file was moved to '474fad23.qua'!
C:\WINDOWS\system32\drivers\dtscsi.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\sptd6109.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <Disque local>
Begin scan in 'J:\'


End of the scan: mercredi 24 octobre 2007 23:01
Used time: 1:14:26 min

The scan has been done completely.

4259 Scanning directories
120173 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
1 files were moved to quarantine
0 files were renamed
4 Files cannot be scanned
120172 Files not concerned
1557 Archives were scanned
4 Warnings
0 Notes
36451 Objects were scanned with rootkit scan
0 Hidden objects were found

Qu'en penses-tu ? un ami qui est venu ce soir me dit de faire delete pour ce virus. Mais comme tu m'as conseillé de le mettre en quarantaine, je préfère ton avis. Peut etre que là où il est placé (apparemment, il se déplace), ca vaux mieux....
0
Réponse 33 / 36
corsu61
24 oct. 2007 à 23:14
Bonjour,
et pour ta deuxième question, g oublié de te répondre. Les fichiers cachés ont été cryptés par axcrypt
0
Réponse 34 / 36
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
25 oct. 2007 à 10:11
C:\System Volume Information\_restore{1CF1B163-87E1-42EE-AACF-E10B0270F0A6}\RP3\A0001315.exe
[DETECTION] Is the Trojan horse TR/Spy.WinSpy.BL.1


pour le virer c'est simple car il est dans ta restauration system:


désactive la restauration système pour purger les virus qui seraient dedans (dans DEMARRER puis TOUS LES PROGRAMMES puis ACCESSOIRE puis OUTILS SYSTEME puis RESTAURATION SYSTEME puis paramètre)


redemarre ton ordi


puis réactive là


__________________________

Les fichiers cachés ont été cryptés par axcrypt

dans ce cas je pense qu'il faut que tu utilise axcrypt pour les revoir et ouvrir
0
Réponse 35 / 36
corsu61
25 oct. 2007 à 17:21
Bonjour,

Je n'arrive toujours pas à avoir la possibilité d'avoir mes fichiers cachés. Mais bon, c'est déjà beaucoup de m'avoir dépanné sur cette saloperie de virus qui me pourissait la vie depuis quelques temps... J'espère sincèrement que d'autres pourront profiter de tes connaissances et de ta super patience.... LOL... merci pour tout en tout cas , c'était vraiment sympa de ta part. A charge de revanche, qui sait... bonne continuation à toi
0
Réponse 36 / 36
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
25 oct. 2007 à 18:37
avec plaisir
bonne continuation
a toi
0

Discussions similaires

Que se passe-t-il quand on supprime un ami sur snapchat
Lilob7 -
kemani06 -

1 réponse
on me supprime mes annonces
clownette27 -
yoyo46 -

16 réponses
Comment supprimer une conversation Messenger pour les 2 personnes ?
mercidemaider -
sd -

7 réponses