Sujet Précédent Sujet Suivant

Spyware/popup rémanent

Résolu/Fermé
Kardrou Messages postés 5 Date d'inscription samedi 15 décembre 2007 Statut Membre Dernière intervention 15 décembre 2007 - 15 déc. 2007 à 19:27
 Utilisateur anonyme - 17 déc. 2007 à 09:52
Bonjour à tous.

Je me présente donc à vous, dans l'espoir d'obtenir un petit coup de main. Depuis deux ou trois jours, je suis victime d'un Spyware assez tenace. J'ai pu constater l'existance de ce dernier en consultant le gestionnaire de tâche. Vous pouvez voir, ci dessous, encadré en rouge, les applications qui me posent problème.

[URL=https://imageshack.com/][IMG]http://img231.imageshack.us/img231/8794/iexvq9.th.jpg[/IMG][/URL]

J'ai aussi constaté que lorsque l'on stoppait l'une de ces applications, une autre s'ouvrait rapidement (CLOSENEW.EXE et un truc comme SETUPK~1.EXE), puis se fermait, avant que ces IEXPLORE.EXE ne s'ouvrent à nouveau. J'arrive à tout fermer en y allant comme un tarré. Mais cela revient toujours au bout d'une heure environ.

J'ai actuellement AVAST et Spybot comme protection résidentes. J'ai effectué des scans complets avec les deux. Aucun résultat lié à mon problème.

Quelqu'un aurait-il déjà eu affaire à ces merdes rémanentes, et si oui, quelle serait la stratégie à adopter pour m'en débarasser ?



Merci infiniment de l'aide que vous pourriez m'apporter.

[PS : Je ne sais pas si c'est lié, mais j'ai souvent une petite fenêtre de pub qui s'ouvre aussi, depuis que ce truc est sur mon pc. Cette fenêtre de pub a pour intitulé "CiD : http://www.adserver5.com/cy/indexint.html" Ce sont peut être les félons à l'origine de mon calvaire numérique.]
A voir également:

13 réponses

Réponse 1 / 13
Utilisateur anonyme
15 déc. 2007 à 19:39
salut à toi,
on attaque...
fais ceci:
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
postes le rapport généré ici.


0
Réponse 2 / 13
Kardrou Messages postés 5 Date d'inscription samedi 15 décembre 2007 Statut Membre Dernière intervention 15 décembre 2007
15 déc. 2007 à 20:00
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:53, on 15/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [warn default inter for] C:\Documents and Settings\All Users\Application Data\Time Dead Warn Default\setup kind.exe
O4 - HKCU\..\Run: [FragBash] C:\DOCUME~1\UTILIS~1\APPLIC~1\thisbits\CLOSENEW.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
0
Réponse 3 / 13
Utilisateur anonyme
15 déc. 2007 à 20:14
désactives :
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
tu sais comment ?
---------
ensuite renommes-moi hijackthis.exe en scanner.exe
---------------
cocher + fixer
https://leblogdeclaude.blogspot.com/2007/05/comment-utiliser-hijackthis-fixer.html
----------------------------------------

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [warn default inter for] C:\Documents and Settings\All Users\Application Data\Time Dead Warn Default\setup kind.exe
O4 - HKCU\..\Run: [FragBash] C:\DOCUME~1\UTILIS~1\APPLIC~1\thisbits\CLOSENEW.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU'
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
---------------------------------------------
ensuite fais ceci:
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-navifix.html
postes le rapport




0
Réponse 4 / 13
Kardrou Messages postés 5 Date d'inscription samedi 15 décembre 2007 Statut Membre Dernière intervention 15 décembre 2007
15 déc. 2007 à 20:40
Search Navipromo version 3.3.8 commencé le 15/12/2007 à 20:36:04,40

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Utilisateur\application data" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Utilisateur\local settings\application data" *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\Utilisateur\local settings\application data" :


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 15/12/2007 à 20:37:18,31 ***
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 13
Utilisateur anonyme
15 déc. 2007 à 20:48
Bien, clean.
fais ceci:
postes le rapport
http://www.malekal.com/download/clean.zip
0
Réponse 6 / 13
Kardrou Messages postés 5 Date d'inscription samedi 15 décembre 2007 Statut Membre Dernière intervention 15 décembre 2007
15 déc. 2007 à 21:17
Je crois que tu as oublié de poster le lien de l'action à faire. (Les popups sont toujours présents, mes IEXPLORE.EXE aussi.)
0
Réponse 7 / 13
Utilisateur anonyme
15 déc. 2007 à 21:45
oups....
Télécharge.
http://www.malekal.com/download/clean.zip

Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
Redémarre en mode sans échec. ( note bien ce que tu as à faire ).
Ouvre le dossier « clean » qui se trouve sur ton bureau.
Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaitre, suis les consignes
Choisis l’option 1.
Clean va travailler.
Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum.

0
Réponse 8 / 13
Kardrou Messages postés 5 Date d'inscription samedi 15 décembre 2007 Statut Membre Dernière intervention 15 décembre 2007
15 déc. 2007 à 21:52
Je l'ai fait, mais sans être en mode sans échec. Le résultat en est :

15/12/2007 a 21:11:25,18

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files


(PS : Entre deux réponses, j'ai fureté sur le site. J'en ai profité pour installer ZoneAlarm et A-squarred. Les trojans n'apparraissent plus dans la liste des appli. Je pense que c'est propre maintenant.)
0
Réponse 9 / 13
Utilisateur anonyme
15 déc. 2007 à 22:03
clean....
fais ceci: (scan en ligne) avec Iexplorer.
http://support.f-secure.fr/fra/home/ols.shtml
postes le rapport de F-secure.
0
Réponse 10 / 13
Kardrou
16 déc. 2007 à 16:22
Re. Léger soucis avec F-secure. J'ai effectué une partie du scan, et ce dernier étant passablement long, j'ai décidé de le couper. Le soucis c'est qu'il a fait planter mon pc. Quand je le démarre, il me met un message d'erreur me disant qu'il manque le fichier suivant :

C:/windows/system32/config/system. (Je ne suis plus sur du chemin du fichier manquant)

J'avais installé Windows 4.0 (une variante non officielle). Penses tu qu'en effectuant une réparation, comme conseillé dans le message d'erreur, à partir du version officielle, je puisse réparer mon système ?

Je me suis aussi rendu compte hier soir, avant de faire un scan F-secure, que les trojans étaient toujours présents sur ma bécane. Une grosse prise de tête sur le coup là.

Merci d'avance de l'aide que tu pourrais m'apporter.
0
Réponse 11 / 13
Utilisateur anonyme
16 déc. 2007 à 17:09
"J'avais installé Windows 4.0 (une variante non officielle). Penses tu qu'en effectuant une réparation, comme conseillé dans le message d'erreur, à partir du version officielle, je puisse réparer mon système ?
"
ton écrit me pose un soucis sur CCM !
Tu veux me dire qu'il sagit d'un version "pirate" que tu désires réparer avec une officielle ?
Si tel est le cas, je dis formatage et réinstall d'une version clean...

--ceci dit...triste erreur de manip !
"J'ai effectué une partie du scan, et ce dernier étant passablement long, j'ai décidé de le couper. "
Pourtant on était trés bien parti !



0
Réponse 12 / 13
Kardrou
17 déc. 2007 à 09:37
Problème entièrement résolu. J'ai installé Ubuntu. Au diable les emmerdes.
0
Réponse 13 / 13
Utilisateur anonyme
17 déc. 2007 à 09:52
là, évidemment tu résouds de toi-même pas mal de complication.
;-)
0

Discussions similaires

pc bloque
nico -
NICO -

33 réponses