Sujet Précédent Sujet Suivant

Spyware impossible à supprimer

Fermé
titi-666 Messages postés 52 Date d'inscription jeudi 26 octobre 2006 Statut Membre Dernière intervention 13 septembre 2019 - 4 juil. 2008 à 00:50
titi-666 Messages postés 52 Date d'inscription jeudi 26 octobre 2006 Statut Membre Dernière intervention 13 septembre 2019 - 6 juil. 2008 à 02:49
Bonjour à tous le monde
J' ai chopé depuis quelques jours un spyware qui à du s'installer suite à une erreur de ma part.
Il a pris la place de mon fond écran et m'affiche en gros sur fond bleu "warning spywere detected on your computer. Install an antivirus or a spyware remover to clean your computer." En plus, il me simule un faux redémarrage système toutes les 5 minutes, et à chaque fois que je redémarre réellement mon PC, avast me détecte VBS:malware-gen que je met en quarantaine, mais qui revient à chaque redémarrage.
Après avoir fait plusieures analyses antivirus en ligne et plusieurs scans avec spybot ou ad-aware, pour le moment, rien ne fonctionne. J'ai bien essayé de suivre un topic qui ressemblait fortement à mon problème, mais cela n'a rien donné non plus.
Y a t'il quelqu'un qui pourrait me venir en aide ?
Je vous remercie d'avance.
A voir également:

27 réponses

Précédent
  • 1
  • 2
Réponse 21 / 27
titi-666 Messages postés 52 Date d'inscription jeudi 26 octobre 2006 Statut Membre Dernière intervention 13 septembre 2019
5 juil. 2008 à 05:41
je viens d'attendre une vingtaine de minutes sans rien toucher pour voir si il se remettait à redémarrer sans arret comme il faisait avant, et apparemment, le problème à disparu.

Pour récapituler:
SmitfraudFix
Lop S&D
MalwareByte's Anti-Malware
hijackthis
Vundofix.exe

Lequels je peux utiliser sans risquer de faire une connerie (si le cas se représente) ?
Que faut-il apprendre pour comprendre les rapport comme hijackThis ? La programmation ?


En tout cas, je te remercie d'avoir passé autant de temps sur mon cas.

J'attend ton dernier message pour etre sur avant de cloturer la discussion.
0
Réponse 22 / 27
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
5 juil. 2008 à 10:20
Bonne nouvelle. Peux-tu poster un nouveau rapport Hijackthis, je vais regarder s'il y a encore des traces d'infections ?
Je te dirais ensuite ce que tu peux garder et ce que tu peux supprimer ;)
0
Réponse 23 / 27
titi-666 Messages postés 52 Date d'inscription jeudi 26 octobre 2006 Statut Membre Dernière intervention 13 septembre 2019
5 juil. 2008 à 15:08
voila le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:09:05, on 05/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
L:\clic_manager_v1_0\Nouveau dossier\ClicMail-Manager.exe
L:\Mes logiciels\SANS INSTALL\emule 47c morph xt 9.5 sans install\emule\eMule.exe
c:\program files\fichiers communs\mozilla shared\firefox.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lemonads.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O2 - BHO: (no name) - {024BDB88-782C-4ADB-958B-525BB410EFDE} - c:\windows\system32\fsvndhn.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [LClock] lclock.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O20 - Winlogon Notify: tdosqzba - C:\WINDOWS\SYSTEM32\fsvndhn.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 24 / 27
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
5 juil. 2008 à 17:31
On dirait que ce n'est pas encore terminé...

==> Télécharge virtumondebegone : http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.

Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau, celui de vundofix situé dans C:\vundofix.txt et un nouveau rapport HijackThis dans ta prochaine réponse.


Puis poste un nouveau rapport hijackthis stp
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 27
titi-666 Messages postés 52 Date d'inscription jeudi 26 octobre 2006 Statut Membre Dernière intervention 13 septembre 2019
5 juil. 2008 à 18:20
voila le rapport virtumundobegone


[07/05/2008, 18:18:01] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Administrateur\Bureau\VirtumundoBeGone.exe" )
[07/05/2008, 18:18:59] - Detected System Information:
[07/05/2008, 18:18:59] - Windows Version: 5.1.2600, Service Pack 2
[07/05/2008, 18:18:59] - Current Username: Administrateur (Admin)
[07/05/2008, 18:18:59] - Windows is in NORMAL mode.
[07/05/2008, 18:18:59] - Searching for Browser Helper Objects:
[07/05/2008, 18:18:59] - BHO 1: {024BDB88-782C-4ADB-958B-525BB410EFDE} ()
[07/05/2008, 18:18:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/05/2008, 18:18:59] - Checking for HKLM\...\Winlogon\Notify\fsvndhn
[07/05/2008, 18:18:59] - Key not found: HKLM\...\Winlogon\Notify\fsvndhn, continuing.
[07/05/2008, 18:18:59] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[07/05/2008, 18:18:59] - Finished Searching Browser Helper Objects
[07/05/2008, 18:18:59] - Finishing up...
[07/05/2008, 18:18:59] - Nothing found! Exiting...


et le vundofix


VundoFix V7.0.6

Scan started at 04:30:49 05/07/2008

Listing files found while scanning....

C:\Windows\system32\NCTAudioCDGrabber2.dll
C:\Windows\system32\NCTAudioFile2.dll
C:\Windows\system32\NCTAudioPlayer2.dll
C:\Windows\system32\NCTAudioRecord2.dll
C:\Windows\system32\NCTAVIFile.dll
C:\Windows\system32\NCTQuickTimeFile.dll
C:\Windows\system32\NCTVideoCoreM.dll
C:\Windows\system32\NCTWMAFile2.dll

Beginning removal...

Attempting to delete C:\Windows\system32\NCTAudioCDGrabber2.dll
C:\Windows\system32\NCTAudioCDGrabber2.dll Has been deleted!

Attempting to delete C:\Windows\system32\NCTAudioFile2.dll
C:\Windows\system32\NCTAudioFile2.dll Has been deleted!

Attempting to delete C:\Windows\system32\NCTAudioPlayer2.dll
C:\Windows\system32\NCTAudioPlayer2.dll Has been deleted!

Attempting to delete C:\Windows\system32\NCTAudioRecord2.dll
C:\Windows\system32\NCTAudioRecord2.dll Has been deleted!

Attempting to delete C:\Windows\system32\NCTAVIFile.dll
C:\Windows\system32\NCTAVIFile.dll Has been deleted!

Attempting to delete C:\Windows\system32\NCTQuickTimeFile.dll
C:\Windows\system32\NCTQuickTimeFile.dll Has been deleted!

Attempting to delete C:\Windows\system32\NCTVideoCoreM.dll
C:\Windows\system32\NCTVideoCoreM.dll Has been deleted!

Attempting to delete C:\Windows\system32\NCTWMAFile2.dll
C:\Windows\system32\NCTWMAFile2.dll Has been deleted!

Performing Repairs to the registry.
Done!
0
Réponse 26 / 27
titi-666 Messages postés 52 Date d'inscription jeudi 26 octobre 2006 Statut Membre Dernière intervention 13 septembre 2019
5 juil. 2008 à 18:21
et voici le hijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:21:58, on 05/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lemonads.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O2 - BHO: (no name) - {024BDB88-782C-4ADB-958B-525BB410EFDE} - c:\windows\system32\fsvndhn.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [LClock] lclock.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O20 - Winlogon Notify: tdosqzba - C:\WINDOWS\SYSTEM32\fsvndhn.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 27 / 27
titi-666 Messages postés 52 Date d'inscription jeudi 26 octobre 2006 Statut Membre Dernière intervention 13 septembre 2019
6 juil. 2008 à 02:49
je me suis peut-etre réjoui trop vite.
Voila le dernier plantage qu'il m'a fait

STOP: c000021a {Erreur systeme irrecuperable.
Le processus systeme windows logon process s'est terminé de façon inattendue avec l'etat
0xc0000005 (0x00000000 0x00000000)
le systeme a ete arrete.

Donc là, j'avais plus qu'a éteindre manuellement et à rallumer.
0