Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2770 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  [Résolu] Supprimer le malware System Doctor

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Résolu] Supprimer le malware System Doctor

n°2500014
hamelouse
Posté le 27-08-2006 à 11:49:56  profilanswer
 

Bonjour,  
Je constate que le PC de ma famille est infecté par Sytem Doctor et winantispyware, de fausses solutions de sécurité qui t'envahissent de pub en permanence.
J'ai tenté pas mal de trucs : Adaware, Spybot. Ils me suppriment des choses mais cela revient à la charge.
 
J'ai également fait un rapport Hijackthis :  
Son analyse en ligne me dit :  
 
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A7BC03E-C111-446B-BFE2-286037EBFFB8}: NameServer = 86.64.145.146 84.103.237.146    
Eventuellement méchant   Effacer cette inscription si le domaine n’appartient pas à l’ISP ou à un réseau qui vous est connu. Il en est de même pour les inscriptions du type 'SearchList'.
   Effacer si l’IP ou le domaine '86.64.145.146 84.103.237.146' ne vous est pas connu.  
 
 

Citation :

O17 - HKLM\System\CCS\Services\Tcpip\..\{ED7937A2-E426-45CE-9778-FF6B35657F09}: NameServer = 80.10.246.1    
Eventuellement méchant   Effacer cette inscription si le domaine n’appartient pas à l’ISP ou à un réseau qui vous est connu. Il en est de même pour les inscriptions du type 'SearchList'.
   Effacer si l’IP ou le domaine '80.10.246.1' ne vous est pas connu.  
 
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A7BC03E-C111-446B-BFE2-286037EBFFB8}: NameServer = 86.64.145.146 84.103.237.146    
Eventuellement méchant   Effacer cette inscription si le domaine n’appartient pas à l’ISP ou à un réseau qui vous est connu. Il en est de même pour les inscriptions du type 'SearchList'.
   Effacer si l’IP ou le domaine '86.64.145.146 84.103.237.146' ne vous est pas connu.


 
J'ai parcouru pas mal de forums pour essayer de trouver une solution à mon problème, mais cette saloperie réapparaît tout le temps.
Vous n'avez pas une chtite technique?
Comment puis-je savoir si ces IP ne sont pas indispensables à ma connexion internet (Modem 9TEl en USB)
 
Merci pour votre aide.


Message édité par hamelouse le 28-08-2006 à 09:29:20
mood
Publicité
Posté le 27-08-2006 à 11:49:56  profilanswer
 

n°2500075
eZula
Posté le 27-08-2006 à 13:26:00  profilanswer
 

salut
 
regarde ici pour les lignes O17 http://www.all-nettools.com/toolbox  
-> tu rentres l'IP dans la boite SmartWhois
 
pour les pubs, tu as fait un scan Blacklight ?

n°2500121
hamelouse
Posté le 27-08-2006 à 14:38:31  profilanswer
 

Oui mais il ne m'a rien trouvé d'alarmant.
Je vais en refaire un,

n°2500144
hamelouse
Posté le 27-08-2006 à 15:02:10  profilanswer
 

Black Light ne me trouve que ça :  
 
08/27/06 14:38:44 [Info]: BlackLight Engine 1.0.46 initialized
08/27/06 14:38:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/27/06 14:38:45 [Note]: 7019 4
08/27/06 14:38:45 [Note]: 7005 0
08/27/06 14:40:32 [Note]: 7006 0
08/27/06 14:40:32 [Note]: 7011 628
08/27/06 14:40:32 [Note]: 7026 0
08/27/06 14:40:32 [Note]: 7026 0
08/27/06 14:40:32 [Note]: 7024 3
08/27/06 14:40:32 [Info]: Hidden process: C:\windows\system32\lepdux.exe
08/27/06 14:40:32 [Note]: FSRAW library version 1.7.1019
08/27/06 14:48:29 [Info]: Hidden file: c:\WINDOWS\system32\lepdux.dat
08/27/06 14:48:29 [Note]: 10002 1
08/27/06 14:48:29 [Info]: Hidden file: C:\windows\system32\lepdux.exe
08/27/06 14:48:29 [Note]: 10002 1
08/27/06 14:48:29 [Info]: Hidden file: c:\WINDOWS\system32\lepdux_nav.dat
08/27/06 14:48:29 [Note]: 10002 1
08/27/06 14:48:29 [Info]: Hidden file: c:\WINDOWS\system32\lepdux_navps.dat
08/27/06 14:48:29 [Note]: 10002 1
08/27/06 14:48:46 [Info]: Hidden file: c:\WINDOWS\Prefetch\LEPDUX.EXE-3538EA96.pf
08/27/06 14:48:46 [Note]: 10002 1
 
C'est quoi?

n°2500145
hamelouse
Posté le 27-08-2006 à 15:03:31  profilanswer
 

Pour les lignes avec les Ips, j'ai 2 ips qui correspondent à neuf, et une à wanadoo.
Est-ce normal?
Dois-je supprimer le processus wanadoo?

n°2500146
hamelouse
Posté le 27-08-2006 à 15:05:04  profilanswer
 

Voila mon log Hijackthis en entier.
 

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 15:04:19, on 27/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\modem ADSL USB\modem ADSL USB\dslmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Suppression de System doctor\Black\blbeta.exe
C:\Suppression de System doctor\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A7BC03E-C111-446B-BFE2-286037EBFFB8}: NameServer = 84.103.237.145 86.64.145.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED7937A2-E426-45CE-9778-FF6B35657F09}: NameServer = 80.10.246.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A7BC03E-C111-446B-BFE2-286037EBFFB8}: NameServer = 84.103.237.145 86.64.145.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
 

n°2500152
eZula
Posté le 27-08-2006 à 15:14:54  profilanswer
 

pour ta connexion, tu es passé de wanadoo à le9 ? en tout cas ces O17 ne sont pas hostiles
 
pour le reste, suis cette procédure http://perso.numericable.fr/~altsh [...] ureIA.html
 
si tu cales avec le fichier reg ou l'édition du rapport de blacklight tu peux demander confirmation

n°2500311
hamelouse
Posté le 27-08-2006 à 18:21:36  profilanswer
 

Super.
Ca a l'air de marcher.
Je te remercie pour ce super lien.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  [Résolu] Supprimer le malware System Doctor

 

Sujets relatifs
Problème virus ? (résolu)[Résolu] Inspection d'un rapport HijackThis
[Résolu] Partage de connexion internet impossible[Résolu] MSN Forwarding et FREE
problème relever courrier entre incrédimail et yahoo C'est résolu.supprimer l'ecran de bienvenue dans xp familiale
[Résolu] Changement de numéros de licence(résolu) Nouveau processus DRONE.EXE suspect ?
Supprimer un fichier URL:File Protocolsupprimer définitivement vos données..., help !
Plus de sujets relatifs à : [Résolu] Supprimer le malware System Doctor

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.046 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR