Infection d un spyrware

doune -  
verni29 Messages postés 6805 Statut Contributeur sécurité -
Bonjour,
mon ordi m alerte d une infection par un spyrware, il me demande de télécharger l antivirus 2009, dois je le faire ? Dois je le faire ou est ce dangereux ? merci beaucoup d avance pour votre réponse
je suis sous windows xp
Configuration: Windows XP
Internet Explorer 7.0

6 réponses

  1. l_intrus Messages postés 3103 Statut Membre 440
     
    Bonjour, ce n'est pas ton pc qui t'alerte, mais le spyware lui-même. C'est une arnaque pour te faire acheter un logiciel bisob. Passe plutôt par ad-aware, spybot ou autre gratuits.
    1
  2. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonjour,

    On va vérifier si c'est une arnaque ou pas.

    télécharge et installe HijackThis .
    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
    Choisir « Download Hijackthis Installer »

    Après l'installation, un raccourci sera crée sur le bureau. Double-clique dessus pour le lancer.

    Choisir l'option Do a system scan and save a logfile.
    Le rapport va s'ouvrir. Tu copies/colles le contenu de ce rapport dans ton prochain message;

    A+
    1
    1. doune
       
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 12:13:28, on 18/07/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16674)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\WINDOWS\system32\slserv.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
      C:\Program Files\Windows Live\Messenger\usnsvc.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Program Files\Windows Live\Mail\wlmail.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66006
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66006
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://support.epson.net/StylusPhotoRX420/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [EPSON Stylus Photo RX420 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P41 "EPSON Stylus Photo RX420 Series (Copie 1)" /M "Stylus Photo RX420" /EF "HKCU"
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\microsoft office\Office10\OSA.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
      O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
      O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
      O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
      O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
      O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
      O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
      O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase2895.cab
      O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
      O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: F-Secure Installer restarter (FSIHS) - Unknown owner - C:\DOCUME~1\CLINE~1\LOCALS~1\Temp\Installer\00000002\bootstrap\fsihs.exe (file missing)
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
      O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
      0
    2. doune
       
      suite au rapport, tu as trouvé quelque chose ? merci beaucoup pour ton aide
      0
  3. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Il est préférable que tu notes les consignes suivantes car en mode sans échec tu n'auras pas accès au net.

    1) Tu télécharges MalwareBytes.
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Tu l'installes. Choisis les options par défaut.
    A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’exécuter .
    Ne choisis que la mise à jour. Le logiciel sera lancé en mode sans échec.

    Tu relances l'ordinateur en mode sans échec ( touche F8 après redémarrage ).
    Tu choisis ton compte utilisateur.

    Pour lancer MalwareBytes, double-clique sur le raccourci du bureau.

    Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
    Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
    Clique sur lancer l’examen.

    A la fin de la recherche, Comme il est demandé, clique sur afficher les résultats de la recherche.
    Choisis alors Supprimer la selection pour nettoyer les infections.
    Tu postes le rapport dans ton prochain message.
    Si tu ne le retrouves pas, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est.
    Clique dessus et choisir ouvrir.

    2) Après le redémarrage, ouvre MalwareBytes ( le raccourci sur le bureau doit toujours être là ).
    Dans l'onglet Quarantaine, si il y a des éléments, supprime tout.

    3) IMPORTANT : Tu n'as aucune protection sur ton PC.
    Pas d'antivirus, de parefeu et d'antispyware.

    Je te mets quelques liens qui te donneront le choix :

    Antivirus :

    - Antivir :
    https://www.malekal.com/avira-free-security-antivirus-gratuit/

    - AVG :
    https://www.commentcamarche.net/telecharger/ 118 avg antivirus free edition

    antispyware :

    spybot
    https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/

    AVG :
    https://www.commentcamarche.net/telecharger/ 218 avg anti spyware

    Pare-feu :

    - Comodo™ Firewall
    http://www.personalfirewall.comodo.com/

    - Kerio Personal Firewall
    http://www.sunbelt-software.com/Kerio-Download.cfm

    - PC Tools Firewall Plus
    https://fr.norton.com/

    Il faut absolument que tu installes ces trois outils ( par exemple, antivir, spybot, kerio ).

    4) Enfin, envoie moi un nouveau rapport Hijackthis.

    A+
    1
    1. novice
       
      coucou, voila le rapport :
      Malwarebytes' Anti-Malware 1.20
      Version de la base de données: 963
      Windows 5.1.2600 Service Pack 2

      16:02:59 18/07/2008
      mbam-log-7-18-2008 (16-02-59).txt

      Type de recherche: Examen complet (D:\|)
      Eléments examinés: 36897
      Temps écoulé: 37 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 2
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 3
      Fichier(s) infecté(s): 19

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{4e7bd74f-2b8d-469e-a0e8-ed6ab685fa7d} (Adware.2020Search) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07aa283a-43d7-4cbe-a064-32a21112d94d} (Adware.Zango) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      C:\Program Files\MessengerSkinner (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\Program Files\MessengerSkinner\download (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\Program Files\MessengerSkinner\resources (Adware.EGDAccess) -> Quarantined and deleted successfully.

      Fichier(s) infecté(s):
      C:\Program Files\MessengerSkinner\MessengerSkinner.url (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\Program Files\MessengerSkinner\download\defaultPack.cab (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\Program Files\MessengerSkinner\resources\appconfig.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\Program Files\MessengerSkinner\resources\btn.rgn (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\Program Files\MessengerSkinner\resources\btnBnr.rgn (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\Program Files\MessengerSkinner\resources\btnIn.rgn (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\Program Files\MessengerSkinner\resources\btnInNormal.bmp (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\Program Files\MessengerSkinner\resources\btnInOver.bmp (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\Program Files\MessengerSkinner\resources\btnNormal.bmp (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\Program Files\MessengerSkinner\resources\btnNormal.gif (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\Program Files\MessengerSkinner\resources\btnNormalBnr.bmp (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\Program Files\MessengerSkinner\resources\btnNormalBnr.gif (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\Program Files\MessengerSkinner\resources\btnOver.bmp (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\Program Files\MessengerSkinner\resources\btnOver.gif (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\Program Files\MessengerSkinner\resources\btnOverBnr.bmp (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\Program Files\MessengerSkinner\resources\btnOverBnr.gif (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\Program Files\MessengerSkinner\resources\languages_v2.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\dibusbiak_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\dibusbiak_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
      0
      1. verni29 Messages postés 6805 Statut Contributeur sécurité 180 > novice
         
        Il faut que tu installes toutes les protections que je t'ai demandé. C'est important. On ne peut pas s'en passer.
        Envoie moi un rapport Hijackthis.

        Puis télécharge navilog d'il mafioso.
        http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe
        Tu l’installes.
        Double-clique sur le raccourci qui a été crée sur le bureau.
        Choisis l'option 1.

        Une fois l’analyse terminée, un rapport va s’ouvrir dans le bloc-notes.
        Tu copies et colles le texte de ce rapport dans ton prochain message.

        A+
        0
  4. l'etudiant du 50 Messages postés 1312 Date d'inscription   Statut Membre Dernière intervention   166
     
    Je crois plutot que ton antivirus est merdique car :
    Il te dit d'acheter la version 2009 au lieu de lui meme le supprimer.
    En gros, c'est un antivirus commercial. Change .... Si tu peux en payer un, prend kaspersky ou sinon en gratuit antivir.
    0
    1. doune
       
      coucou, en fait mon antivirus ast celui de windows
      0
      1. l'etudiant du 50 Messages postés 1312 Date d'inscription   Statut Membre Dernière intervention   166 > doune
         
        windows n'a pas de antivirus juste un firewall qui ne permet meme pas de controler les flux sortant... Prend toi antivir et un bon antyspy : spybot. analyse tout et supprime tout ce qu'il te trouve.
        0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lefouerrant Messages postés 578 Statut Membre 116
     
    essaye d'abord de supprimer le virus avec l'antivirus actuel
    0
  7. AlainBE Messages postés 253 Statut Membre 30
     
    Bonjour,

    Non, j'ai le même problème avec IE7. C'est de la blague (fausse pub).
    J'ai contrôlé le PC avec Antivir PE Premium, Commodo firewall pro, Spyware terminator, Spybot et rien n'a été trouvé.
    Je travaille normalement avec Mozilla Firefox 3, et là pas de message d'erreur.

    Voilà, j'espère avoir été utile,

    @+, Alain.
    0
    1. l'etudiant du 50 Messages postés 1312 Date d'inscription   Statut Membre Dernière intervention   166
       
      Hijackthis ....
      0