Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1167 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Probleme SPyware

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Probleme SPyware

n°2456350
brucejun
i'm the man.
Posté le 06-07-2006 à 13:44:53  profilanswer
 

bonjour a vous ! alors j'ai un petit problem ! je vous copi le log ce sera plus parlant :
 
Logfile of HijackThis v1.99.1
Scan saved at 13:41:39, on 06/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\s?mbols\m?dtc.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Network Monitor\netmon.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\eMule\emule.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\STEM32~1\mmc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Documents and Settings\bruce\Bureau\temp dL\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: (no name) - {EC5763CB-8158-DFD3-0175-F83AF65127CB} - C:\WINDOWS\system32\heg.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {EC5763CB-8158-DFD3-0175-F83AF65127CB} - C:\WINDOWS\system32\heg.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [{26847896-CC28-44DB-B175-A8077D1F06B4}.exe] C:\WINDOWS\system32\{26847896-CC28-44DB-B175-A8077D1F06B4}.exe
O4 - HKLM\..\Run: [dflnl.exe] C:\WINDOWS\system32\dflnl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [defender] c:\\defender22.exe
O4 - HKLM\..\Run: [w84820cb.dll] RUNDLL32.EXE w84820cb.dll,I2 00105948084820cb
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Hpo] C:\WINDOWS\s?mbols\m?dtc.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Spy Sweeper Fix.lnk = C:\Program Files\Webroot\Spy Sweeper\SpySweeperFix.bat
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O17 - HKLM\System\CCS\Services\Tcpip\..\{85592A4D-ECD1-4086-A618-ED8CC5225441}: NameServer = 85.255.114.86,85.255.112.228
O17 - HKLM\System\CCS\Services\Tcpip\..\{8BAACF37-AFF9-435E-9097-116A19633218}: NameServer = 85.255.114.86,85.255.112.228
O17 - HKLM\System\CCS\Services\Tcpip\..\{E47F8DF4-3AC8-40F1-AF48-077F29C3AA0C}: NameServer = 85.255.114.86,85.255.112.228
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.86 85.255.112.228
O17 - HKLM\System\CS1\Services\Tcpip\..\{85592A4D-ECD1-4086-A618-ED8CC5225441}: NameServer = 85.255.114.86,85.255.112.228
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.86 85.255.112.228
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs:  C:\WINDOWS\system32\iexplore.dll
O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\kt6ml7j11.dll (file missing)
O20 - Winlogon Notify: Syncmgr - C:\WINDOWS\
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\YnI\command.exe (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
voila... j'aimerai savoir si quelque chose cloche et comment le regler ( definitevement ) merci de votre aide

mood
Publicité
Posté le 06-07-2006 à 13:44:53  profilanswer
 

n°2456351
freds45
Posté le 06-07-2006 à 13:46:53  profilanswer
 

Commence par préciser ce qui cloche, les syndromes, etc....
Le post de logs hijackthis tels quels, non ! [:itm]


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°2456356
brucejun
i'm the man.
Posté le 06-07-2006 à 13:50:27  profilanswer
 

hey bien.. principalement des popup internet explorer qui apparaissent aleatoirement.. meme quand les navigateurs sont fermés.. des pti ralentissement... ainsi que ce foutu windows error safe... genre " vous voulez etre proteger?"  et ca mrenvoi sur leur page pour dl ce foutu virus.. en gros voila tout

n°2456359
Wolfman
Modérateur
Lobo'tomizado
Posté le 06-07-2006 à 13:52:45  profilanswer
 

La source de beaucoup de tes problèmes -> C:\Program Files\eMule\emule.exe

n°2456376
brucejun
i'm the man.
Posté le 06-07-2006 à 14:13:37  profilanswer
 

on peut utiliser emule sans pour autant avoir des problemes.. comment puis je eviter.. ca et je prefere qu'on me donne des trucs precis pour regler mes problemes plutot que de donner des phrases evasive merci :)

n°2456380
Anthony10
Posté le 06-07-2006 à 14:20:02  profilanswer
 

Bonjour.
 
1/Télécharger SmitfraudFix (de S!Ri, balltrap34 et moel31) : http://siri.urz.free.fr/Fix/SmitfraudFix.zip
 
2/ Dézipper la totalité de l'archive sur ton bureau.
 
3/ Déconnecte toi du net.
 
4/ Double cliquer sur smitfraudfix.cmd
 
5/ Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.
 
6/ Sauvegarde le rapport.
 
7/ Démarre en Mode sans Echec : http://www.sosordi.net/Faq/Faq.2.html
 
8/* Double cliquer sur smitfraudfix.cmd
 
* Sélectionner 2 dans le menu pour supprimer les fichiers respondables de l'infection.
 
* A la question: Voulez-vous nettoyer le registre ? répondre O (oui)
 
9/ Sauvegarde le rapport puis colle le dans ta prochaine reponse.

n°2456422
brucejun
i'm the man.
Posté le 06-07-2006 à 14:59:53  profilanswer
 


 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\bruce\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\bruce\Favoris
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
 
[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"
 
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"
 
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
 
[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"
 
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin

n°2456441
Anthony10
Posté le 06-07-2006 à 15:25:51  profilanswer
 

Bonjour.
 
Télécharge Look2Me-Destroyer.exe sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=7
 
* Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
 
* Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
 
* Coche Run this program as a task.
 
* Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK.
 
* Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
 
* Lorsque le scan termine, clique sur le bouton Remove L2M
 
* Un message Done Scanning apparaîtra, clique OK.
 
* Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
 
* Ton PC va maintenant s'éteindre.
 
* Démarre ton PC normalement.
 
* Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt dans ta prochaine réponse.
 
# Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

n°2456484
brucejun
i'm the man.
Posté le 06-07-2006 à 16:22:24  profilanswer
 

Look2Me-Destroyer V1.0.12
 
Scanning for infected files.....
Scan started at 06/07/2006 15:59:03
 
Infected! C:\WINDOWS\system32\kt6ml7j11.dll
 
Attempting to delete infected files...
 
Making registry repairs.
 
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Syncmgr
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Shell Extensions
 
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{BBE3F09C-5F31-41FA-91F5-7D40B6C3138B}"
HKCR\Clsid\{BBE3F09C-5F31-41FA-91F5-7D40B6C3138B}
 
Restoring Windows certificates.
 
Replaced hosts file with default windows hosts file
 
 
Restoring SeDebugPrivilege for Administrateurs - Succeeded

n°2456502
brucejun
i'm the man.
Posté le 06-07-2006 à 16:36:04  profilanswer
 

voila donc si c bon.. jaimerais savoir ce que jdois faire pour que ca dure et ne plus etre infester a tout va merci de votre aide!

mood
Publicité
Posté le 06-07-2006 à 16:36:04  profilanswer
 

n°2456623
Anthony10
Posté le 06-07-2006 à 18:41:21  profilanswer
 

Bonjour.
 
Repost un nouveau log Hijackthis stp.

n°2456651
brucejun
i'm the man.
Posté le 06-07-2006 à 19:46:08  profilanswer
 

Logfile of HijackThis v1.99.1
Scan saved at 19:46:03, on 06/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\eMule\emule.exe
C:\WINDOWS\s?mbols\m?dtc.exe
C:\WINDOWS\STEM32~1\mmc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
K:\InStal\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: (no name) - {EC5763CB-8158-DFD3-0175-F83AF65127CB} - C:\WINDOWS\system32\heg.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {EC5763CB-8158-DFD3-0175-F83AF65127CB} - C:\WINDOWS\system32\heg.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Ares] "C:\WINDOWS\STEM32~1\mmc.exe" -vt ndrv
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Spy Sweeper Fix.lnk = C:\Program Files\Webroot\Spy Sweeper\SpySweeperFix.bat
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O17 - HKLM\System\CCS\Services\Tcpip\..\{85592A4D-ECD1-4086-A618-ED8CC5225441}: NameServer = 85.255.114.86,85.255.112.228
O17 - HKLM\System\CCS\Services\Tcpip\..\{8BAACF37-AFF9-435E-9097-116A19633218}: NameServer = 85.255.114.86,85.255.112.228
O17 - HKLM\System\CCS\Services\Tcpip\..\{E47F8DF4-3AC8-40F1-AF48-077F29C3AA0C}: NameServer = 85.255.114.86,85.255.112.228
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.86 85.255.112.228
O17 - HKLM\System\CS1\Services\Tcpip\..\{85592A4D-ECD1-4086-A618-ED8CC5225441}: NameServer = 85.255.114.86,85.255.112.228
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.86 85.255.112.228
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs:  C:\WINDOWS\system32\iexplore.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

n°2456718
Wolfman
Modérateur
Lobo'tomizado
Posté le 06-07-2006 à 21:44:33  profilanswer
 

Vire Emule !!!!!!!

n°2456750
brucejun
i'm the man.
Posté le 06-07-2006 à 22:03:02  profilanswer
 

comment ca jvire emule.. mais ca veux dire koi ca

n°2456764
Wolfman
Modérateur
Lobo'tomizado
Posté le 06-07-2006 à 22:09:17  profilanswer
 

Ca veut dire désinstalle-le si tu veux que ton PC soit nettoyé correctement.

n°2456784
Anthony10
Posté le 06-07-2006 à 22:24:39  profilanswer
 

Bonjour a tous,
 
 
*  A la moindre interrogation, doute, probleme de ta part, pose moi ta question afin de suivre correctement les instructions.
 
 
*  Télécharge et installe :
 
- Ewido anti-spyware
 
http://www.ewido.net/en/download/
 
 
- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
 
- Ferme Ewido. Ne pas le lancer tout de suite.
 
 
 
-CCleaner
http://www.ccleaner.com/ccdownload.asp et installe le. (Attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner).
 
 
*  Télécharge FixWareout de ce  lien :
 
http://downloads.subratam.org/Fixwareout.exe
 
Sauvegarde-le sur ton Bureau, puis lance-le.
Clique Next, puis Install, et assure-toi que "Run fixit" soit coché, puis clique Finish.
Suis les directives à l'écran.
L'outil va te demander de redémarrer ton PC; fais-le s'il te plaît.
Le redémarrage risque de prendre un peu plus de temps; ceci est normal.
Lorsque redémarré, un fichier texte apparaîtra (report.txt); copie/colle ce rapport dans ta prochaine réponse
 
 
*  Enregistre les instructions de la page web puisque en mode sans echec, tu n'auras pas acces a Internet.  
 
Pour enregistrer la page Internet :  
 
- Clique Fichier / Enregistrer sous / Enregistre la sur le bureau
 
Apres ceci, lorsque tu seras en mode sans echec, tu trouveras la manipulation a faire sur ton bureau.
 
 
*  S'assurer que tout les fichiers soient la :
 
Ouvre le poste de travail ou l'Explorateur Windows (ce que tu utilises d'habitude pour visiter tes fichiers).
 
Menu "Outils" -> "Options des Dossiers..." -> Onglet "Affichage".
 
Tu trouveras ces réglages dans le cadre "Paramètres avancés" :
 
- Fichiers et dossiers cachés : coche "Afficher les fichiers et dossiers cachés"
- Décoche "Masquer les extensions des fichiers dont le type est connu"
- Décoche "Masquer les fichiers protégés du système d'exploitation", à la demande de confirmation réponds "Oui"
 
 
*  Redémarre ton PC en mode sans échec.
 
- En cas de difficulte, suis les intrusctions : http://perso.wanadoo.fr/jesses/Doc [...] sEchec.htm
 
 
*  Desinstallation de l'application nocive :
 
- Double clique sur Poste de travail / Panneau de configuration
- Choisir Ajout/Suppression de programmes.
 
Verifies si ces programmes sont presents dans la liste :
 
Network Monitor
eMule
 
S'ils sont presents, les desinstaller en cliquant dessus puis Supprimer
 
 
* Démarrer > Exécuter et taper  Services.msc puis OK
Choisir le mode "Etendu" (onglets inférieurs)
Grâce à la barre de défilement (à droite) rechercher le service suivant:
 
France Telecom Routing Table Service
 
Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).
Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,
puis dérouler le Type de Démarrage pour le modifier en Désactivé
Cliquer sur Appliquer puis OK
 
- Refais de meme avec Network Monitor
 
Lancer Hijackthis, choisir Open the Misc.Tools section
la fenêtre "Configuration va s'ouvrir
cliquer sur Delete a NT service...
la fenêtre "Delete a Windows NT service" va s'ouvrir
Entrer dans la zone de dialogue :
 
FTRTSVC
 
Note : assurez-vous de ne mettre d'espace, ni avant, ni après !
cliquer OK
 
Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer.
Cliquer NO
 
- Refais de meme avec Network Monitor
 
 
*  Enlever les lignes nefastes :
 
Relance HijackThis et clique sur Do a scan only  puis cochez les lignes [ si presentes ] en gras ci-dessous :  
 
R3 - URLSearchHook: (no name) - {EC5763CB-8158-DFD3-0175-F83AF65127CB} - C:\WINDOWS\system32\heg.dll  
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)  
 
O2 - BHO: (no name) - {EC5763CB-8158-DFD3-0175-F83AF65127CB} - C:\WINDOWS\system32\heg.dll  
 
O4 - HKCU\..\Run: [Ares] "C:\WINDOWS\STEM32~1\mmc.exe" -vt ndrv  
 
O17 - HKLM\System\CCS\Services\Tcpip\..\{85592A4D-ECD1-4086-A618-ED8CC5225441}: NameServer = 85.255.114.86,85.255.112.228  
O17 - HKLM\System\CCS\Services\Tcpip\..\{8BAACF37-AFF9-435E-9097-116A19633218}: NameServer = 85.255.114.86,85.255.112.228  
O17 - HKLM\System\CCS\Services\Tcpip\..\{E47F8DF4-3AC8-40F1-AF48-077F29C3AA0C}: NameServer = 85.255.114.86,85.255.112.228  
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.86 85.255.112.228  
O17 - HKLM\System\CS1\Services\Tcpip\..\{85592A4D-ECD1-4086-A618-ED8CC5225441}: NameServer = 85.255.114.86,85.255.112.228  
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.86 85.255.112.228  
 
O20 - AppInit_DLLs:  C:\WINDOWS\system32\iexplore.dll

 
 
Ferme toutes les applications en cours sauf HijackThis et fais Fixed checked .
 
 
*  Supprimez des mauvais fichiers/dossiers :
 
Supprime les fichiers/dossiers incriminés en gras ci dessous  [ s'ils sont presents ] en suivant le chemin d'acces.
 
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\heg.dll  
C:\WINDOWS\system32\iexplore.dll
 
C:\WINDOWS\s?mbols
C:\WINDOWS\STEM32~1
 
C:\Program Files\eMule
C:\Program Files\Network Monitor
 
 
 
* Lance CCleaner en double cliquant sur CCleaner.exe
 
-=Suppression des fichiers temporaires=-
 
- Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
- Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
- Clique sur Analyse
- Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
- Une fois le scan terminé, clique sur Lancer le Nettoyage
 
-=Suppression des incohérence du registre=-
 
- Clique sur l'icône Erreurs situé dans la marge à gauche.
- Puis clique sur Analyser les erreurs
- Patiente pendant que CCleaner scanne ton registre.
- Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
- Tu peux cliquer ensuite sur Corriger les erreurs.
- Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.
 
 
 
* Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan.  Le scan prendra un certain temps, donc sois patient.
 
- Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
 
- Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
 
 
*  Voir les resultats de la manipulation :
 
Redémarre ton ordinateur en mode normal et poste un nouveau rapport HijackThis à titre vérificatif ainsi que le rapport d'Ewido et le rapport de FixWareOut
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Probleme SPyware

 

Sujets relatifs
Probleme avec un virus(trojan)/spyware qui veut pas partirProblème avec un spyware et virus
probleme spyware et autreProbleme de spyware
probleme de spyware, virus, trojanProbleme de Spyware - Ci joit le LOg HiJackThis
Probleme de Spyware - Ci joit le LOg HiJackThisproblème spyware ou virus
Big probleme de spyware..Problème Spyware !!! Aidez-moi
Plus de sujets relatifs à : Probleme SPyware


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR