Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1088 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Problème spyware - urgent merci !

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Problème spyware - urgent merci !

n°1991690
Doo77
Posté le 11-04-2005 à 11:44:32  profilanswer
 

Bonjour,  
 
C'est super urgent ! J'ai un problème de spyware sur mon poste et je n'arrive pas à le supprimer. J'ai fait tourner l'antivirus, également ad-aware et spybot et rien ! Un spyware Ebates MoneyMaker est à chaque fois détecté et supprimé, mais à chaque fois il revient en avant lorsque je reboot mon poste !  
J'ai également contrôler dans les programmes si qqch apparaissait sous 'Ebates' mais rien !  
Je suis terriblement embêter pour pouvoir travailler. Est-ce que quelqu'un aurait déjà eu ce problème et pourrait me donner un coup de main rapide ???  
 
J'ai également fait tourner Hijackthis et voici le résultat :  
 
Logfile of HijackThis v1.99.1  
Scan saved at 11:32:19, on 11.04.2005  
Platform: Windows 2000 SP4 (WinNT 5.00.2195)  
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)  
 
Running processes:  
C:\WINNT\System32\smss.exe  
C:\WINNT\system32\winlogon.exe  
C:\WINNT\system32\services.exe  
C:\WINNT\system32\lsass.exe  
C:\WINNT\system32\svchost.exe  
C:\WINNT\system32\spoolsv.exe  
C:\WINNT\System32\svchost.exe  
C:\Program Files\Borland\InterBase\bin\ibguard.exe  
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe  
C:\oracle\ora92\bin\omtsreco.exe  
C:\WINNT\Explorer.EXE  
C:\WINNT\system32\regsvc.exe  
C:\WINNT\system32\MSTask.exe  
C:\Program Files\Trend Micro\OfficeScan Client\ofcdog.exe  
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe  
C:\WINNT\System32\WBEM\WinMgmt.exe  
C:\WINNT\system32\mspmspsv.exe  
C:\Program Files\Trend Micro\OfficeScan Client\PCCNTMON.EXE  
C:\Program Files\Borland\InterBase\bin\ibserver.exe  
C:\WINNT\system32\rundll32.exe  
C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis2a.exe  
C:\WINNT\system32\internat.exe  
C:\Program Files\Timbreuse\Timbreuse.exe  
C:\Program Files\MYIE2\MyIE.exe  
C:\Documents and Settings\lbonivento\Desktop\HijackThis.exe  
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ocs.proconcept.ch/  
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = PCSISA:8080  
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = mail.proconcept.ch;oid.proconcept.ch  
ocs.proconcept.ch;<local>  
R3 - Default URLSearchHook is missing  
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)  
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon  
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\winvnc.exe" -servicehelper  
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow  
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup  
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis2a.exe  
O4 - HKLM\..\Run: [etbrun] C:\winnt\system32\eliteciy32.exe  
O4 - HKCU\..\Run: [internat.exe] internat.exe  
O4 - HKCU\..\Run: [Timbreuse] C:\Program Files\Timbreuse\Timbreuse.exe /AUTOREG  
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE  
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll  
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll  
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL  
O10 - Hijacked Internet access by New.Net  
O10 - Hijacked Internet access by New.Net  
O10 - Hijacked Internet access by New.Net  
O10 - Hijacked Internet access by New.Net  
O10 - Hijacked Internet access by New.Net  
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = sonceboz.proconcept.ch  
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = sonceboz.proconcept.ch  
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = sonceboz.proconcept.ch  
O18 - Protocol: qrev - {9DE24BAC-FC3C-42C4-9FC4-76B3FAFDBD90} - C:\PROGRA~1\QUESTS~1\TOAD\RNetPin.dll  
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe  
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe  
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe  
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe  
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oracle\ora92\bin\omtsreco.exe  
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\ora92\BIN\ONRSD.EXE  
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe  

mood
Publicité
Posté le 11-04-2005 à 11:44:32  profilanswer
 

n°1991772
western-sh​adow
Pan !
Posté le 11-04-2005 à 12:38:51  profilanswer
 

;) pas de Ebates/MoneyMaker dans ton log mais le spy EliteToolBar
 
1° fixer
 
R3 - Default URLSearchHook is missing  

O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)<--adware elitetoolbar
http://castlecops.com/clsid-1737.html
 
la ligne 04/faire
1) ctrl/alt/supp : arrêter ce processus
2) repasser sur le log et fixer (cocher)
 
O4 - HKLM\..\Run: [etbrun] C:\winnt\system32\eliteciy32.exe  (variante d'exe d'elitetoolbar idem)
 
*ferme TOUS les programmes
*fixe les lignes trouvées dans l'hijack (coche chaque case & Fix Checked)
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille
 
Pour ces entrées après les fix, utiliser l'outil de désinstall.
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup  
O10 - Hijacked Internet access by New.Net  
O10 - Hijacked Internet access by New.Net  
O10 - Hijacked Internet access by New.Net  
O10 - Hijacked Internet access by New.Net  
O10 - Hijacked Internet access by New.Net  
 
How to uninstall New.Net/NewDotNet  
http://www.newdotnet.com/removal.html <--à tester en 1er  
http://www.geocities.com/merijn_be [...] otnet.html <--cliquer sur le "bouton bleu" 1 seule fois! et attendre...
 
 

n°1991875
Doo77
Posté le 11-04-2005 à 13:58:31  profilanswer
 

Merci pour ton aide rapide !
 
Cependant, j'ai toujours le problème avec l'elitetoolbar.
Pour New.net c'est OK ! J'ai bien pu le supprimer.
 
Pour elitetoolbar, tu parles de supprimer le services et ensuite de le fixer après être repasser dans le log.
Mais le service à supprimer, c'est lequel ?????
Je ne sais pas du tout !
Car si je fixe uniquement la ligne 'eliteciy32.exe', ça revient sans arrêt !
 
Voici la liste des services que j'ai :
-System Idle Process
-System
-SMSS.EXE
-WINLOGON.EXE
-CSRSS.EXE
-SERVICES.EXE
-LSASS.EXE
-svchost.exe
-spoolsv.exe
-svchost.exe
-ibguard.exe
-ntrtscan.exe
-explorer.exe
-regsvc.exe
-mstask.exe
-tmlisten.exe
-OfcDog.exe
-ibserver.exe
-PccNTMon.exe
-WinMgmt.exe
-mspmspsv.exe
-PccNTUpd.exe
-Timbreuse.exe
-fppdis2a.exe
-internat.exe
 
Est-ce que tu peux encore me donner un petit coup de main pour ça ?
Car là, ça revient sans arrêt !
 
Peut-être ai-je mal compris ton explication d'avant ?
 
Voici si jamais le dernier log de Hijackthis que je viens de faire :
 
Logfile of HijackThis v1.99.1
Scan saved at 13:52:19, on 11.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\ofcdog.exe
C:\Program Files\Trend Micro\OfficeScan Client\PCCNTMON.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntupd.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Timbreuse\Timbreuse.exe
C:\Program Files\MYIE2\MyIE.exe
C:\Documents and Settings\lbonivento\Desktop\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ocs.proconcept.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = PCSISA:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = mail.proconcept.ch;oid.proconcept.ch
ocs.proconcept.ch;<local>
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [etbrun] C:\winnt\system32\eliteciy32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Timbreuse] C:\Program Files\Timbreuse\Timbreuse.exe /AUTOREG
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = sonceboz.proconcept.ch
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = sonceboz.proconcept.ch
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = sonceboz.proconcept.ch
O18 - Protocol: qrev - {9DE24BAC-FC3C-42C4-9FC4-76B3FAFDBD90} - C:\PROGRA~1\QUESTS~1\TOAD\RNetPin.dll
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
 
 

n°1991909
western-sh​adow
Pan !
Posté le 11-04-2005 à 14:22:12  profilanswer
 

quand tu fais ctrl/alt/supp : tu ne vois ni le processus [etbrun] ni "eliteciy32.exe" ?
 
tu le vois pas dans démarrer/exécuter : taper msconfig/valider ok / onglet : démarrage ??
si oui! décoche la case et reboot aussitôt pour appliquer
 
avec l'hijack
- clique sur  "Misc Tools button"  
- Clique sur  "labeled Delete a file on reboot"
 
après les fix/recherche dans ton ordi --> eliteciy32.exe (ou/et si tu trouves un dossier complet "etbrun" aussi)  
 
1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs
 
2) affiche les dossiers cachés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">>[!coche!] "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>>[!décoche!] la case "Masquer les fichiers protégés du système d'exploitation" *
 
3) passe en mode sans échec : (de préférence)
donne des impulsions rapides dès l'allumage de ton ordi sur la touche F8 ou F5
http://assiste.free.fr/p/comment/d [...] _echec.php
 
4) recherche et supprime
C:\programm files/ou/WINDOWS/ou/SYSTEM32\---> supprime : [.....].exe
 
5) redémarre en mode normal - vide ton cache internet (C:\Documents and Settings\NomUtilisateur\Local Settings\Temporary Internet Files  
/ou/options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)
 
6) réactive ta restauration système  
 
 
 
 

n°1991938
Doo77
Posté le 11-04-2005 à 14:41:52  profilanswer
 

Super!
 
Apparemment maintenant c'est bon !
 
Je te remercie beucoup pour ton aide précieuse. Tu me sauve la vie  :love:  
 
Désolé encore pour le dérangement et merci,merci,merci,merci
 
Salut
 :bounce:  :bounce:

n°1991996
western-sh​adow
Pan !
Posté le 11-04-2005 à 15:11:05  profilanswer
 

http://www.touslessmileys.com/smiley-id-2257.gif lol!! sauver la vie c'est bcp trop ; bon surf!


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Problème spyware - urgent merci !

 

Sujets relatifs
SMC 2804WBR v.2 - probleme clef protection wifiprobleme :KAVICHS:$DATA
xpy : problème pare-feuProblème Internet Explorer
Problème de transert de fichiers en réseauxProblème avec msn messenger
probleme de language avec netobject fusion 8probleme de vitesse en LAN
Probleme de Son (plutot de volume) Hard ou Soft ?Problème Bitdefender Pro 8
Plus de sujets relatifs à : Problème spyware - urgent merci !

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.054 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR