Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1381 connectés 

 
 


 Mot :   Pseudo :  
 
 Page :   1  2  3
Page Suivante
Page Précédente
Bas de page 
Auteur Sujet :

SpywareQuake est une vraie tare! [RESOLU]

n°2371487
darren
bing blang blaow
Posté le 31-03-2006 à 18:08:00  profilanswer
 

Reprise du message précédent :

oufdemangas a écrit :

hello a tous desoler mais je ne sais vraiment pas ou paster ceci mais j'ai eu le ême probleme et je ne sais pas déchivfrer se post pouvez vous maider???svp médé médé lol...
 
 
SCAN:
 
SmitFraudFix v2.26
Rapport fait à 17:13:09,01 le 31/03/2006
Executé à partir de D:\DL\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\dfrgsrv.exe PRESENT !
C:\WINDOWS\system32\ld????.tmp PRESENT !
C:\WINDOWS\system32\ncompat.tlb PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\stickrep.dll PRESENT !
C:\WINDOWS\system32\ts.ico PRESENT !
C:\WINDOWS\system32\1024\ PRESENT!
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Thomas\Application Data
C:\Documents and Settings\Thomas\Application Data\Microsoft\Internet Explorer\Quick Launch\SpywareQuake 2.0.lnk PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer
C:\Documents and Settings\Thomas\Menu Démarrer\SpywareQuake 2.0.lnk PRESENT !
C:\Documents and Settings\Thomas\Menu Démarrer\Programmes\SpywareQuake PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Favoris
C:\Documents and Settings\Thomas\Favoris\Antivirus Test Online.url PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau
C:\Documents and Settings\Thomas\Bureau\SpywareQuake.lnk PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files  
C:\Program Files\Security Toolbar\ PRESENT !
C:\Program Files\SpywareQuake\ PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}"="USB Ware"
[HKEY_CLASSES_ROOT\CLSID\{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}\InProcServer32]
@="C:\WINDOWS\system32\stickrep.dll"
[HKEY_CURRENT_USER\Software\Classes\CLSID\{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}\InProcServer32]
@="C:\WINDOWS\system32\stickrep.dll"
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport


 
 
salut
utiliser smitfraudfix il a ete mis a jour pour cela
telecharge
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
tu le decompresse tu double clik dessus  sur smitfraudfix.cmd et tu choisi l option 1
cela vas generer un rapport donne nous le
*******
redemarre en sans echec
 
relance le et choisi cette fois l option 2 et repond oui a tous
redemarre et donne le nouveau rapport

mood
Publicité
Posté le 31-03-2006 à 18:08:00  profilanswer
 

n°2371903
oufdemanga​s
Posté le 01-04-2006 à 11:19:11  profilanswer
 

voici le nouveau rapport merci beaucoup deja rien que en ralumant il n'y a rien d'aparent qui pourrai me dire que spyquake est toujours présent c'est bon signe :)  
 
SCAN:
 
SmitFraudFix v2.26
 
Rapport fait à 10:44:27,21 le 01/04/2006
Executé à partir de D:\DL\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
 
C:\WINDOWS\system32\dfrgsrv.exe supprimé
C:\WINDOWS\system32\ld????.tmp supprimé
C:\WINDOWS\system32\ncompat.tlb supprimé
C:\WINDOWS\system32\ot.ico supprimé
C:\WINDOWS\system32\stickrep.dll supprimé
C:\WINDOWS\system32\ts.ico supprimé
C:\WINDOWS\system32\1024\ supprimé
C:\Documents and Settings\Thomas\Application Data\Microsoft\Internet Explorer\Quick Launch\SpywareQuake 2.0.lnk supprimé
C:\Documents and Settings\Thomas\Bureau\SpywareQuake.lnk supprimé
C:\Documents and Settings\Thomas\Favoris\Antivirus Test Online.url supprimé
C:\Documents and Settings\Thomas\Menu Démarrer\SpywareQuake 2.0.lnk supprimé
C:\Documents and Settings\Thomas\Menu Démarrer\Programmes\SpywareQuake supprimé
C:\Program Files\Security Toolbar\ supprimé
C:\Program Files\SpywareQuake\ supprimé
 
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé.  
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
 
merci encore de votre aide;)

n°2384516
Renegade56
Posté le 15-04-2006 à 23:34:12  profilanswer
 

Salut,
Moi aussi je suis confronté au meme problème.
J'ai réussi a supprimer le logiciel mais j'ai toujours le message qui apparait toutes les 10 mn et m'indiquant que je suis contaminer.
J'ai fait "SmitFraudFix" en mode sans echec pour enlever ce message mai rien y fait.
 
 
Voici mon rapport Hijackthis:
 
"Logfile of HijackThis v1.99.1
Scan saved at 23:25:03, on 15/04/2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\VIAudioi\SBADeck\ADeck.exe
C:\Logiciels\Protections\ZoneAlarm\zlclient.exe
C:\LOGICI~1\PROTEC~1\AVGANT~1\avgcc.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Logiciels\java\bin\jusched.exe
C:\LOGICI~1\volant\common\swtrayv4.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Logiciels\logitech\cam\LogiTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Logiciels\logitech\SetPoint\KEM.exe
C:\Logiciels\logitech\SetPoint\KHALMNPR.EXE
C:\Logiciels\logitech\cam\FxSvr2.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\LOGICI~1\PROTEC~1\AVGANT~1\avgamsvr.exe
C:\LOGICI~1\PROTEC~1\AVGANT~1\avgupsvc.exe
C:\LOGICI~1\PROTEC~1\AVGANT~1\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\SPYWAR~1\swdoctor.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Renegade\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {8d83b16e-0de1-452b-ac52-96ec0b34aa4b} - (no file)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1  
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Logiciels\Protections\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\LOGICI~1\PROTEC~1\AVGANT~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Logiciels\java\bin\jusched.exe
O4 - HKLM\..\Run: [SideWinderTrayV4] c:\LOGICI~1\volant\common\swtrayv4.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Logiciels\logitech\cam\ISStart.exe  
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Logiciels\logitech\cam\LogiTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Logiciels\logitech\cam\ManifestEngine.exe boot
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Logiciels\adobe reader\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Logiciels\logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Logiciels\logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Logiciels\MICROSOFT Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Logiciels\java\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Logiciels\java\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O16 - DPF: {7C6E92FA-4429-4FB6-909B-798E2EFFAEF0} (NCWeb.Launcher) - http://www.guildwars.co.kr/common/ocx/ncweb.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\LOGICI~1\PROTEC~1\AVGANT~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\LOGICI~1\PROTEC~1\AVGANT~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\LOGICI~1\PROTEC~1\AVGANT~1\avgemc.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Logiciels\Tune UP 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe"
 
 
Que dois-je faire?
Merci.

n°2384532
eZula
Posté le 15-04-2006 à 23:52:16  profilanswer
 

bonsoir
 
assure-toi que tu as la dernière version du fix qui a été récemment modifié
 
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
 
et dépose le rapport option 1

n°2384535
Renegade56
Posté le 15-04-2006 à 23:59:28  profilanswer
 

Effectivement, la c'est la version 2.31 alors que j'avais la version 2.29.
je fais smitfraudfix en mode sans echec et je te met le rapport.

n°2384541
Renegade56
Posté le 16-04-2006 à 00:12:28  profilanswer
 

C'est bon je crois que le problème est réglé, je n'ai plus le message. enfin.
Merci pour ton aide!
 
Voici le rapport:
 
"SmitFraudFix v2.31
 
Rapport fait à  0:03:30,67, 16/04/2006
Executé à partir de C:\Documents and Settings\Renegade\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
C:\WINDOWS\system32\suprox.dll PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Renegade\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Renegade\Favoris
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
 
[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"
 
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"
 
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
 
[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"
 
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"
 
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{AC1B4DA2-12FA-31F2-1A7D-CD2B14E6AD4E}"="USB Mouse Driver"
 
[HKEY_CLASSES_ROOT\CLSID\{AC1B4DA2-12FA-31F2-1A7D-CD2B14E6AD4E}\InProcServer32]
@="C:\WINDOWS\System32\suprox.dll"
 
[HKEY_CURRENT_USER\Software\Classes\CLSID\{AC1B4DA2-12FA-31F2-1A7D-CD2B14E6AD4E}\InProcServer32]
@="C:\WINDOWS\System32\suprox.dll"
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin"
 
Salut.
 

n°2384544
eZula
Posté le 16-04-2006 à 00:14:30  profilanswer
 

oui d'ailleurs tu vois que le fichier C:\WINDOWS\system32\suprox.dll  a juste été ajouté aujourd'hui :)
http://siri.urz.free.fr/Fix/ChangeLog.php
 

Message cité 1 fois
n°2392496
VINCE562
Posté le 24-04-2006 à 11:26:01  profilanswer
 

eZula a écrit :

oui d'ailleurs tu vois que le fichier C:\WINDOWS\system32\suprox.dll a juste été ajouté aujourd'hui  :)
http://siri.urz.free.fr/Fix/ChangeLog.php

 


IMPECCABLE ,merci à ce forum , j'ai choppé cette saloperie de spywarequake sur un site x et j'ai réussi à m'en débarasser aussi rapidement qu'il est apparu avec SMITFRAUDFIX
 
bonne continuation
 

Message cité 1 fois
n°2428870
kerfot
Posté le 05-06-2006 à 14:22:37  profilanswer
 

VINCE562 a écrit :

IMPECCABLE ,merci à ce forum , j'ai choppé cette saloperie de spywarequake sur un site x et j'ai réussi à m'en débarasser aussi rapidement qu'il est apparu avec SMITFRAUDFIX
 
bonne continuation


 Bonjour,
 J'ajoute mon message de satisfaction à celui de Vince.
 J'ai cherché longtemps comment me débarasser de cette saloperie de spywarequake (chopée aussi sur un site X), et ai finalement réussi grâce à vos messages et, finalement, à smitfraudfix, en un tour de main...alors que je suis un pur poussin d'1 jour en informatique.
 Merci à vous tous.
 
 PS : n'est-il pas possible d'emmerder ces enfoirés de spywarequake (tehniquement ou légalement...) et de leur balancer une bonne torpille?? je trouve leur procédé vraiment dégueulasse! mais ça c'est une affaire de spécialiste, que je ne suis pas!

Message cité 1 fois
n°2428905
eZula
Posté le 05-06-2006 à 15:07:45  profilanswer
 

Bonjour
 

kerfot a écrit :

et ai finalement réussi grâce à vos messages et, finalement, à smitfraudfix, en un tour de main...alors que je suis un pur poussin d'1 jour en informatique.


 
j'ajoute que le SmitfrauFix, qui est un merveilleux outil, est très régulièrement mis à jour, pensez toujours à télécharger la dernière version sur le site de son créateur S!ri http://siri.urz.free.fr/Fix/SmitfraudFix.php
 

Citation :

n'est-il pas possible d'emmerder ces enfoirés de spywarequake (tehniquement ou légalement...) et de leur balancer une bonne torpille?? je trouve leur procédé vraiment dégueulasse! mais ça c'est une affaire de spécialiste, que je ne suis pas!


 
ce forum international a été créé dans le but de rassembler le plus de plaintes possibles, vis-à-vis de ces éditeurs de malwares qui pourrissent le surf http://www.malwarecomplaints.info/ [...] 8b8cbfbde7
cliquer sur le lien "spywarequake" et rédiger son speech, en respectant juste ce qui est demandé.

Message cité 1 fois
mood
Publicité
Posté le 05-06-2006 à 15:07:45  profilanswer
 

n°2430782
kerfot
Posté le 07-06-2006 à 15:39:36  profilanswer
 

eZula a écrit :

Bonjour
 
 
 
j'ajoute que le SmitfrauFix, qui est un merveilleux outil, est très régulièrement mis à jour, pensez toujours à télécharger la dernière version sur le site de son créateur S!ri http://siri.urz.free.fr/Fix/SmitfraudFix.php
 
 
 
ce forum international a été créé dans le but de rassembler le plus de plaintes possibles, vis-à-vis de ces éditeurs de malwares qui pourrissent le surf http://www.malwarecomplaints.info/ [...] 8b8cbfbde7
cliquer sur le lien "spywarequake" et rédiger son speech, en respectant juste ce qui est demandé.


 
 
Merci pour tes précisions;
J'ai essayé de conclure en laissant un message sur malwarecomplaints, mais je ne réussi pas à me faire enregistrer...??
En revanche, j'ai fait un don (mérité!) à Smitfraudfix !
Salut.

Message cité 1 fois
n°2430785
eZula
Posté le 07-06-2006 à 15:44:25  profilanswer
 

:hello:  
 

kerfot a écrit :

J'ai essayé de conclure en laissant un message sur malwarecomplaints, mais je ne réussi pas à me faire enregistrer...??


 
en principe tu n'as pas besoin de t'enregistrer, tu postes directement ton message à la suite de la catégorie "spywarequake" et tu apparaitras en tant que "Guest", c'est à dire "invité"

n°2431240
kOrt3x
Posté le 08-06-2006 à 00:33:30  profilanswer
 

test Xcleaner et aussi spyware Doctor, j'avais eu aussi cette cochonnerie, et depuis je ne l'ai plus!
;)


---------------
http://www.mackortex.com
n°2432005
SwaaN
C'est pas faux !
Posté le 08-06-2006 à 18:11:42  profilanswer
 

Bonjour, j'ai aussi ce problème depuis 2 jours, j'ai essayé un peu tout ce qui est proposé sur ce forum, notamment la solution avec SmitFraudFix (redémarrage mode sans échec, etc) essayé aussi pas mal d'antispy de toutes sortes mais rien n y fait.
En désespoir de cause je vous mets les logs de SmitFraudFix en mode normal.
 
Pour info quand je rédémarre en mode sans echec ça m'efface bien le spy, m'indique bien qu'ils ont étés effacés mais ensuite ils réaparraissent.
 

Citation :

SmitFraudFix v2.56
 
Rapport fait à 18:10:04,34, 08/06/2006
Executé à partir de C:\Documents and Settings\BSTEPHANE\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
C:\WINDOWS\alexaie.dll PRESENT !
C:\WINDOWS\alxie328.dll PRESENT !
C:\WINDOWS\alxtb1.dll PRESENT !
C:\WINDOWS\bg.gif PRESENT !
C:\WINDOWS\BTGrab.dll PRESENT !
C:\WINDOWS\close-bar.gif PRESENT !
C:\WINDOWS\dlmax.dll PRESENT !
C:\WINDOWS\infected.gif PRESENT !
C:\WINDOWS\Pynix.dll PRESENT !
C:\WINDOWS\susp.exe PRESENT !
C:\WINDOWS\star.gif PRESENT !
C:\WINDOWS\warning-bar-ico.gif PRESENT !
C:\WINDOWS\ZServ.dll PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
C:\WINDOWS\system32\a.exe PRESENT !
C:\WINDOWS\system32\alxres.dll PRESENT !
C:\WINDOWS\system32\bridge.dll PRESENT !
C:\WINDOWS\system32\dailytoolbar.dll PRESENT !
C:\WINDOWS\system32\jao.dll PRESENT !
C:\WINDOWS\system32\questmod.dll PRESENT !
C:\WINDOWS\system32\runsrv32.dll PRESENT !
C:\WINDOWS\system32\runsrv32.exe PRESENT !
C:\WINDOWS\system32\tcpservice2.exe PRESENT !
C:\WINDOWS\system32\txfdb32.dll PRESENT !
C:\WINDOWS\system32\udpmod.dll  PRESENT !
C:\WINDOWS\system32\wstart.dll PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\BSTEPHANE\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\BSTEPH~1\Favoris
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 


 
D'avance merci si quelqu'un arrive à m'aider  :cry:
 
 
/edit : ah oui et naturellement Ad-Aware et Spybot de rigueur + quelques autres anti-spy , mais rien à faire.


Message édité par SwaaN le 08-06-2006 à 18:18:51
n°2432031
eZula
Posté le 08-06-2006 à 18:28:18  profilanswer
 

salut SwaaN
 
tu dois avoir un malware non encore détecté par le fix et qui retélécharge toutes ces saletés à chaque redémarrage.
 
Donc poste un rapport HijackThis : http://sitethemacs.free.fr/aide_en [...] ackthi.htm

n°2432043
SwaaN
C'est pas faux !
Posté le 08-06-2006 à 18:34:49  profilanswer
 

iop merci de m'aider  :)  
 
Rapport HijackThis :  
 

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 18:32:24, on 08/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Personal Firewall\NISUM.EXE
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Program Files\Norton Personal Firewall\SymProxySvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Norton Personal Firewall\NISSERV.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Program Files\Norton Personal Firewall\IAMAPP.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\users32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hiajckthis\HijackThis.exe
 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: adobepnl.ADOBE_PANEL - {5E8FA924-DEF0-4E71-8A82-A11CA0C1413B} - C:\WINDOWS\system32\adobepnl.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DVDUpgrade] DVDUpgrd.exe /async
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/5 [...] taller.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/035e7a [...] xIE601.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{86F565BC-C94A-4A84-9AA4-2FA9AECC6EFA}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\NISUM.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\SymProxySvc.exe
 

n°2432056
eZula
Posté le 08-06-2006 à 18:44:29  profilanswer
 

vas sur ce site http://www.virustotal.com/en/indexf.html
et fais scanner les deux fichiers suivants :
C:\WINDOWS\system32\users32.exe  
C:\WINDOWS\system32\adobepnl.dll  
 
=> poste les 2 rapports

n°2432064
SwaaN
C'est pas faux !
Posté le 08-06-2006 à 18:51:21  profilanswer
 

ok merci je m'en occupe de suite, y a un temps d'attente je te post dès que c'est fait  :)

n°2432076
SwaaN
C'est pas faux !
Posté le 08-06-2006 à 19:07:40  profilanswer
 

ok donc ça c'est concernant le users32.exe :
 

Citation :

STATUS: FINISHEDComplete scanning result of "users32.exe", received in VirusTotal at 06.08.2006, 18:50:19 (CET).
 
Antivirus Version Update Result  
AntiVir 6.35.0.10 06.08.2006  no virus found  
Authentium 4.93.8 06.08.2006  no virus found  
Avast 4.7.844.0 06.08.2006  no virus found  
AVG 386 06.08.2006  no virus found  
BitDefender 7.2 06.08.2006  no virus found  
CAT-QuickHeal 8.00 06.08.2006  no virus found  
ClamAV devel-20060426 06.08.2006  no virus found  
DrWeb 4.33 06.08.2006  no virus found  
eTrust-InoculateIT 23.72.31 06.07.2006  no virus found  
eTrust-Vet 12.6.2248 06.08.2006  no virus found  
Ewido 3.5 06.08.2006 Not-A-Virus.Hoax.Win32.Renos.dk  
Fortinet 2.77.0.0 06.08.2006  no virus found  
F-Prot 3.16f 06.08.2006  no virus found  
Ikarus 0.2.65.0 06.08.2006  no virus found  
Kaspersky 4.0.2.24 06.08.2006 not-virus:Hoax.Win32.Renos.dk  
McAfee 4780 06.08.2006  no virus found  
Microsoft 1.1441 06.08.2006  no virus found  
NOD32v2 1.1586 06.08.2006  no virus found  
Norman 5.90.21 06.08.2006  no virus found  
Panda 9.0.0.4 06.08.2006 Adware/TitanShield  
Sophos 4.06.0 06.08.2006 Troj/SpyDldr-G  
Symantec 8.0 06.08.2006  no virus found  
TheHacker 5.9.8.156 06.08.2006  no virus found  
UNA 1.83 06.08.2006  no virus found  
VBA32 3.11.0 06.08.2006 no virus found  
 
 
Aditional Information  
File size: 67076 bytes  
MD5: fcb8200a38e3f60f254955db7d0d4b6f  
SHA1: f7fbd9d68a74ba2cd7eed8b2f87c2271c820f5ec  


 
je m'occupe de l'autre.

n°2432098
SwaaN
C'est pas faux !
Posté le 08-06-2006 à 19:25:17  profilanswer
 

Le rapport concernant adobepnl.dll :  
 

Citation :

STATUS: FINISHEDComplete scanning result of "adobepnl.dll", received in VirusTotal at 06.08.2006, 19:08:23 (CET).
 
Antivirus Version Update Result  
AntiVir 6.35.0.10 06.08.2006  no virus found  
Authentium 4.93.8 06.08.2006  no virus found  
Avast 4.7.844.0 06.08.2006  no virus found  
AVG 386 06.08.2006  no virus found  
BitDefender 7.2 06.08.2006  no virus found  
CAT-QuickHeal 8.00 06.08.2006  no virus found  
ClamAV devel-20060426 06.08.2006  no virus found  
DrWeb 4.33 06.08.2006  no virus found  
eTrust-InoculateIT 23.72.31 06.07.2006  no virus found  
eTrust-Vet 12.6.2248 06.08.2006  no virus found  
Ewido 3.5 06.08.2006  no virus found  
Fortinet 2.77.0.0 06.08.2006  no virus found  
F-Prot 3.16f 06.08.2006  no virus found  
Ikarus 0.2.65.0 06.08.2006  no virus found  
Kaspersky 4.0.2.24 06.08.2006  no virus found  
McAfee 4780 06.08.2006  no virus found  
Microsoft 1.1441 06.08.2006  no virus found  
NOD32v2 1.1586 06.08.2006  no virus found  
Norman 5.90.21 06.08.2006  no virus found  
Panda 9.0.0.4 06.08.2006  no virus found  
Sophos 4.06.0 06.08.2006 Troj/SpyDldr-G  
Symantec 8.0 06.08.2006  no virus found  
TheHacker 5.9.8.156 06.08.2006  no virus found  
UNA 1.83 06.08.2006  no virus found  
VBA32 3.11.0 06.08.2006 no virus found  
 
 
Aditional Information  
File size: 30720 bytes  
MD5: 10fd22b01d8b0dde1fb330a80fb0b9d5  
SHA1: ee6a846bf81167118d0ea59dee9ace2561d5804e  

n°2432107
eZula
Posté le 08-06-2006 à 19:34:44  profilanswer
 

Ok, plusieurs choses à faire avant de passer à l'action.
 
1/ télécharge RegSearch http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Dézippe-le sur ton bureau.
 
Double-clique sur le fichier .vbs et dans la petite boite de dialogue entre ce terme :
users32.exe
Clique "ok" et patiente. Quand il a terminé, le bloc-notes va s'ouvrir avec les résultats de la recherche dans le registre, poste son contenu
 
Puis recommence avec ces deux noms :
adobepnl.dll
5E8FA924-DEF0-4E71-8A82-A11CA0C1413B
 
2/ Pendant que je regarde ces résultats, vas sur ce site : http://siri.urz.free.fr/upload
 
fais un clic droit/"copier l'adresse du lien" (ou "copier le raccourci" ) sur ce lien : http://forum.hardware.fr/hardwaref [...] m#t2432005 puis tu fais un clic droit / coller dans le champ  "Lien vers le message du forum où le fichier a été demandé:"
 "Fichier:" -> colle ce chemin en gras C:\WINDOWS\system32\users32.exe  et clique sur "upload"
 
recommence avec le chemin de ce fichier C:\WINDOWS\system32\adobepnl.dll  
tu mets le même lien dans le champ "Lien vers le message du forum où le fichier a été demandé:"
 
lorsque tu as terminé, fais juste un signe et je te donne la suite :)

n°2432119
SwaaN
C'est pas faux !
Posté le 08-06-2006 à 19:44:26  profilanswer
 

iop, milles lerci encore pour ton aide, voici les logs
 
pour users32.exe :

Citation :

REGEDIT4
; RegSrch.vbs © Bill James
 
; Registry search results for string "users32.exe" 08/06/2006 19:36:53
 
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
 
 
[HKEY_USERS\S-1-5-21-1214440339-1383384898-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"b"="C:\\WINDOWS\\system32\\users32.exe"
 
[HKEY_USERS\S-1-5-21-1214440339-1383384898-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"a"="C:\\WINDOWS\\system32\\users32.exe"
 
[HKEY_USERS\S-1-5-21-1214440339-1383384898-1060284298-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\users32.exe"="users32"


 
pour adobepnl.dll :  

Citation :

REGEDIT4
; RegSrch.vbs © Bill James
 
; Registry search results for string "adobepnl.dll" 08/06/2006 19:39:05
 
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
 
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}\InprocServer32]
@="C:\\WINDOWS\\system32\\adobepnl.dll"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C13F6A43-3C5A-429A-87D5-3BBF60099CF0}\1.0\0\win32]
@="C:\\WINDOWS\\system32\\adobepnl.dll"
 
[HKEY_USERS\S-1-5-21-1214440339-1383384898-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"c"="C:\\WINDOWS\\system32\\adobepnl.dll"
 
[HKEY_USERS\S-1-5-21-1214440339-1383384898-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"a"="C:\\WINDOWS\\system32\\adobepnl.dll"


 
pour 5E8FA924-DEF0-4E71-8A82-A11CA0C1413B

Citation :

REGEDIT4
; RegSrch.vbs © Bill James
 
; Registry search results for string "5E8FA924-DEF0-4E71-8A82-A11CA0C1413B" 08/06/2006 19:40:30
 
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
 
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\adobepnl.ADOBE_PANEL\Clsid]
@="{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}\Implemented Categories]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}\Implemented Categories\{40FC6ED5-2438-11CF-A3DB-080036F12502}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}\InprocServer32]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}\ProgID]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}\Programmable]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}\TypeLib]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}\VERSION]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}]
 
[HKEY_USERS\S-1-5-21-1214440339-1383384898-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}]
 
[HKEY_USERS\S-1-5-21-1214440339-1383384898-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}\iexplore]


 
Je vais sur le site que tu m'as conseillé.

n°2432127
SwaaN
C'est pas faux !
Posté le 08-06-2006 à 19:49:05  profilanswer
 

Ok les deux fichiers sont copiés :  
 

Citation :

Le fichier users32.exe a été copié.
 
Taille: 67076
MD5: FCB8200A38E3F60F254955DB7D0D4B6F
SHA-1: F7FBD9D68A74BA2CD7EED8B2F87C2271C820F5EC
 
Le fichier adobepnl.dll a été copié.
 
Taille: 30720
MD5: 10FD22B01D8B0DDE1FB330A80FB0B9D5
SHA-1: EE6A846BF81167118D0EA59DEE9ACE2561D5804E


 
/edit : je vais bientôt eteindre l'ordi, donc prends tout ton temps pour me répondre, si je ne repasse pas ce soir je serai là demain dans la matinée.
 
Bien cordialement et encore merci du mal que tu te donnes.


Message édité par SwaaN le 08-06-2006 à 19:50:35
n°2432140
eZula
Posté le 08-06-2006 à 20:03:03  profilanswer
 

Note comment démarrer en mode sans échec (choisis ta version de windows, si tu le peux, utilise préférentiellement la touche F8 ) : http://service1.symantec.com/SUPPO [...] 5112131924  
Tu vas t'en servir de l'étape 2 à l'étape 9 sans accès à internet.
 
1/ Télécharge :
 
- CCleaner http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
 
1 et demi/ Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous - sauf le mot "citation -, ligne vide comprise à la fin (copie tout d'un trait) :
 

Citation :

REGEDIT4
 
[HKEY_USERS\S-1-5-21-1214440339-1383384898-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"b"=-
 
[HKEY_USERS\S-1-5-21-1214440339-1383384898-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"a"=-
 
[HKEY_USERS\S-1-5-21-1214440339-1383384898-1060284298-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\users32.exe"=-
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C13F6A43-3C5A-429A-87D5-3BBF60099CF0}]
 
[HKEY_USERS\S-1-5-21-1214440339-1383384898-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"c"=-
 
[HKEY_USERS\S-1-5-21-1214440339-1383384898-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"a"=-
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\adobepnl.ADOBE_PANEL]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}]
 
[-HKEY_USERS\S-1-5-21-1214440339-1383384898-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}]
 


 
Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix2.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
 
L'icône de fix2.reg doit ressembler à cela http://www.hiboox.com/images/4905/avnoztv.jpg
 
 
*****Copie ce qui suit dans un bloc-notes et redémarre en mode sans échec (choisis ta session habituelle, pas le compte admin ou autre)*****
 
## Démarrer/exécuter, tape regedit. Fais un clic droit sur la clé
 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}
=> "Exporter", destination : sur le bureau, nom : 5E8FA924-DEF0-4E71-8A82-A11CA0C1413B
 
Recommence avec cette clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C13F6A43-3C5A-429A-87D5-3BBF60099CF0}
=> "Exporter", destination : sur le bureau, nom : C13F6A43-3C5A-429A-87D5-3BBF60099CF0
 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\adobepnl.ADOBE_PANEL
=> "Exporter", destination : sur le bureau, nom : adobepnl.ADOBE_PANEL
 
HKEY_USERS\S-1-5-21-1214440339-1383384898-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}
=> "Exporter", destination : sur le bureau, nom : 5E8FA924-DEF0-4E71-8A82-A11CA0C1413Bbis
 
tu auras donc au final 4 sauvegardes sur ton bureau, sous la forme de fichiers d'enregistrement reg.
 
2/ démarrer/exécuter, et colle la ligne suivante :
 
regsvr32 /u C:\WINDOWS\system32\adobepnl.dll
 
Valide par entrée, peu importe le message que tu obtiendras.
 
 
3/ Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :
 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: adobepnl.ADOBE_PANEL - {5E8FA924-DEF0-4E71-8A82-A11CA0C1413B} - C:\WINDOWS\system32\adobepnl.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/035e7a [...] xIE601.cab
 
 
- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.
 
3 et demi/ double clique sur fix2.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"
 
4/ Assure toi d'avoir accès aux dossiers/fichiers cachés :
 

Citation :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",  
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"


 
5/ recherche et supprime ces dossiers ou fichiers, si tu les trouves :
 
C:\WINDOWS\system32\adobepnl.dll <- le fichier
C:\WINDOWS\system32\users32.exe <- le fichier
 
6/ Vide la corbeille.
 
7/ Lance Ccleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
 
8/ double-clique sur le fichier "SmitfraudFix.cmd" et choisis l’option 2, réponds oui à tout et laisse-le procéder.  
 
9/ Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
 
10/ poste le contenu du fichier C:\rapport.txt

n°2432141
SwaaN
C'est pas faux !
Posté le 08-06-2006 à 20:05:02  profilanswer
 

Ok merci de l'info, je m'occupe de ça demain matin  :)

n°2432527
SwaaN
C'est pas faux !
Posté le 09-06-2006 à 09:43:49  profilanswer
 

Ok donc j'ai suivis tes instruction à la lettre, je n'ai pas rencontré de difficultées, tout s'est parfaitement bien déroulé.
 
Pas de spam sur écran, Explorer tourne bien, bref rien à signalé après opération.
 
Je te mets les logs d'HijackThis après un redémarrage normal comme tu me l'a conseillé :  
 

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 09:37:48, on 09/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Personal Firewall\NISUM.EXE
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Program Files\Norton Personal Firewall\SymProxySvc.exe
C:\Program Files\Norton Personal Firewall\NISSERV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Program Files\Norton Personal Firewall\IAMAPP.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\dvdupgrd.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\BSTEPHANE\Bureau\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DVDUpgrade] DVDUpgrd.exe /async
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/5 [...] taller.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\NISUM.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\SymProxySvc.exe
 


 
/edit : j'ai fais un scan avec ad-aware, rien à signaler, ça fait une heure que le pc tourne, rien à signaler, j'ôse donc espérer que le problème soit réglé.
 
Un énorme merci pour m'avoir aidé à régler ce problème  :jap:


Message édité par SwaaN le 09-06-2006 à 10:51:33
n°2432899
eZula
Posté le 09-06-2006 à 12:51:07  profilanswer
 

salut
 
tu avais oublié de poster le contenu du fichier C:\rapport.txt
 
Lance Ccleaner : "Nettoyeur"/"lancer le nettoyage"
 
Et poste un rapport Panda pour terminer
 
http://www.pandasoftware.com/activ [...] ncipal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "tout ordinateur" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.

n°2432977
SwaaN
C'est pas faux !
Posté le 09-06-2006 à 13:42:46  profilanswer
 

iop, le rapport.txt effectué juste après l'opération :  
 

Citation :

SmitFraudFix v2.56
 
Rapport fait à  9:32:57,59, 09/06/2006
Executé à partir de C:\Documents and Settings\BSTEPHANE\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec
 
»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
 
C:\WINDOWS\alexaie.dll supprimé
C:\WINDOWS\alxie328.dll supprimé
C:\WINDOWS\alxtb1.dll supprimé
C:\WINDOWS\bg.gif supprimé
C:\WINDOWS\BTGrab.dll supprimé
C:\WINDOWS\close-bar.gif supprimé
C:\WINDOWS\dlmax.dll supprimé
C:\WINDOWS\infected.gif supprimé
C:\WINDOWS\Pynix.dll supprimé
C:\WINDOWS\star.gif supprimé
C:\WINDOWS\susp.exe supprimé
C:\WINDOWS\warning-bar-ico.gif supprimé
C:\WINDOWS\ZServ.dll supprimé
C:\WINDOWS\system32\a.exe supprimé
C:\WINDOWS\system32\alxres.dll supprimé
C:\WINDOWS\system32\bridge.dll supprimé
C:\WINDOWS\system32\dailytoolbar.dll supprimé
C:\WINDOWS\system32\jao.dll supprimé
C:\WINDOWS\system32\questmod.dll supprimé
C:\WINDOWS\system32\runsrv32.dll supprimé
C:\WINDOWS\system32\runsrv32.exe supprimé
C:\WINDOWS\system32\tcpservice2.exe supprimé
C:\WINDOWS\system32\txfdb32.dll supprimé
C:\WINDOWS\system32\udpmod.dll supprimé
C:\WINDOWS\system32\wstart.dll supprimé
 
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
 
GenericRenosFix by S!Ri
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé.  
 
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 


 
Ccleaner effectué
 
Le rapport Panda qui me trouve encore des trucs  :(  
 

Citation :


Incident                                                                        Statut                        Analyse                                                                                                                                                                                                                                                          
 
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\BSTEPHANE\Bureau\SmitfraudFix\Process.exe                                                                                                                                                                                      
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\BSTEPHANE\Bureau\SmitfraudFix.zip[SmitfraudFix/Process.exe]                                                                                                                                                                    
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\BSTEPHANE\Cookies\bstephane@xiti[1].txt                                                                                                                                                                                  
Spyware:Cookie/RealMedia                                                        No Désinfecté                 C:\Documents and Settings\SwaN\Cookies\swan@247realmedia[1].txt                                                                                                                                                                                                  
Spyware:Cookie/Atlas DMT                                                        No Désinfecté                 C:\Documents and Settings\SwaN\Cookies\swan@atdmt[2].txt                                                                                                                                                                                                        
Spyware:Cookie/Bluestreak                                                       No Désinfecté                 C:\Documents and Settings\SwaN\Cookies\swan@bluestreak[2].txt                                                                                                                                                                                                    
Spyware:Cookie/Com.com                                                          No Désinfecté                 C:\Documents and Settings\SwaN\Cookies\swan@com[1].txt                                                                                                                                                                                                          
Spyware:Cookie/Doubleclick                                                      No Désinfecté                 C:\Documents and Settings\SwaN\Cookies\swan@doubleclick[1].txt                                                                                                                                                                                                  
Spyware:Cookie/Serving-sys                                                      No Désinfecté                 C:\Documents and Settings\SwaN\Cookies\swan@serving-sys[2].txt                                                                                                                                                                                                  
Spyware:Cookie/Tradedoubler                                                     No Désinfecté                 C:\Documents and Settings\SwaN\Cookies\swan@tradedoubler[1].txt                                                                                                                                                                                                  
Spyware:Cookie/Weborama                                                         No Désinfecté                 C:\Documents and Settings\SwaN\Cookies\swan@weborama[2].txt                                                                                                                                                                                                      
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\SwaN\Cookies\swan@xiti[1].txt                                                                                                                                                                                                          


 
edit/ J'ai été voir la solution de Panda pour me débarasser de ça, faut acheter une boite à 30 euros  :bounce:


Message édité par SwaaN le 09-06-2006 à 13:46:11
n°2432984
eZula
Posté le 09-06-2006 à 13:45:44  profilanswer
 

c'est bon, rien de méchant
 
supprime juste le dossier SmitfraudFix
 
Et pour tes cookies tu peux les filtrer si tu veux http://perso.numericable.fr/~altsh [...] okies.html
 
A+ :)

n°2432988
SwaaN
C'est pas faux !
Posté le 09-06-2006 à 13:46:57  profilanswer
 

Et bien à nouveau, un grand merci pour ton aide !  :jap:
 
/edit petite question vite fais, je peux enlever tous les trucs que j'ai sur le bureau et que tu m'avais demandé de faire pendant l'opération ou ça risque quelque chose ?
J'ai aussi un dossier "backups" qui s'etait crée, je peux l'enlever ?


Message édité par SwaaN le 09-06-2006 à 13:48:36
n°2432996
eZula
Posté le 09-06-2006 à 13:53:09  profilanswer
 

garde les 4 fichiers reg quelques temps, mets-les dans un dossier quelque part dans tes documents (ça ne prend rien comme place)
 
oui tu peux virer le dossier backups d'HJT, il ne contient que des saletés.
 
Tes applications adobe fonctionnent normalement ?

n°2433013
SwaaN
C'est pas faux !
Posté le 09-06-2006 à 14:00:45  profilanswer
 

Ok c'est fait, pour les applications Adobe oui c'est bon tout fonctionne.  :)

n°2433052
eZula
Posté le 09-06-2006 à 14:22:36  profilanswer
 

alors à bientot !

n°2433056
SwaaN
C'est pas faux !
Posté le 09-06-2006 à 14:24:56  profilanswer
 

Oui, mais dans des circonstances plus joyeuses alors ^^
Encore merci  :jap:

n°2433840
SwaaN
C'est pas faux !
Posté le 10-06-2006 à 14:17:29  profilanswer
 

iop, bon bah rebelotte, j'ai allumé ma bécane et au bout de 5 mn réapparition du spy.
 
J'ai passé Ccleaner, Ad-Aware, Spybot et SmitFraudFix en mode sans échec, à priori ça à l'air d'aller pour l'instant.
 
Mais je redoutte qu'il revienne à chaque instant, notamment au prochain redémarrage.

n°2433881
eZula
Posté le 10-06-2006 à 15:21:29  profilanswer
 

salut,
 
le fix a été mis à jour, et peut etre grace à ta participation, il intègre désormais les deux malwares qu'on a viré hier.
 
Supprime ta version de SmitfraudFix, retélécharge-le à la même adresse et poste le rapport de l'option 1, stp.

n°2433887
SwaaN
C'est pas faux !
Posté le 10-06-2006 à 15:29:52  profilanswer
 

iop, je viens de la re-télécharger, je l'avais déjà fait tout à l'heure quand le spy est réapparue, voici le log de l'option 1 en mode normal :  
 

Citation :

SmitFraudFix v2.57
 
Rapport fait à 15:28:18,42, 10/06/2006
Executé à partir de C:\Documents and Settings\BSTEPHANE\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\BSTEPHANE\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\BSTEPH~1\Favoris
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 


 
A priori ce que j'observe c'est que tout va bien quand je passe Ccleaner, et les anti-spy en mode sans echec.
La par exemple le spy n'est pas réapparue, c'est quand j'ai redémarrer ce matin qu'il est revenue, mon utilitaire m'a demandé si je voulais lancer un fichier "runsrv32.exe", (pas sur du nom), et ça c'est le signe que le spy va me lancer sa série de fenêtres.
 
J'avais répondu non, mais je savais déjà que c'etais repartie pour un tour  :pfff:  
Donc y a un truc encore planqué, là j'en suis à choisir mes cookies dans Explorer comme le l'explique le tuto que tu m'avais conseillé plus haut.
 
Pour l'instant tout roule bien, j'hésite à redemarrer la bécane  :D
 
Je te met un rapport HijackThis en mode normal si celà peu t'aider :  
 

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 15:36:37, on 10/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Personal Firewall\NISUM.EXE
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Program Files\Norton Personal Firewall\SymProxySvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Norton Personal Firewall\NISSERV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Program Files\Norton Personal Firewall\IAMAPP.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\BSTEPHANE\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://actualite.free.fr/insolite.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DVDUpgrade] DVDUpgrd.exe /async
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/5 [...] taller.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{86F565BC-C94A-4A84-9AA4-2FA9AECC6EFA}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\NISUM.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\SymProxySvc.exe
 


 
Rapport Panda fait à l'instant
 

Citation :


Incident                                                                        Statut                        Analyse                                                                                                                                                                                                                                                          
 
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\BSTEPHANE\Bureau\SmitfraudFix\Process.exe                                                                                                                                                                                      
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\BSTEPHANE\Bureau\SmitfraudFix.zip[SmitfraudFix/Process.exe]                                                                                                                                                                    


 
J'avais viré les précédents cookies qui s'affichait sur le rapport Panda d'hier quand j'ai appliqué ta méthode de filtrage des cookies ce matin. Rien à signaler à part SmitfraudFix


Message édité par SwaaN le 10-06-2006 à 15:53:03
n°2433911
eZula
Posté le 10-06-2006 à 16:08:57  profilanswer
 

effectivement, Panda et le fix ne trouvent rien
mais les éditeurs de ce type de malwares sont particulièrement acharnés, et il peut arriver que du jour au lendemain un tas de nouvelles bébêtes soient déjà opérationnelles.
SmitfrauFix suit l'infection de manière remarquable mais il faut savoir que cela représente un boulot énorme.
 
Par rapport à ton fichier runsrv32.exe je te propose ce coup-ci de faire ce scan en ligne http://webscanner.kaspersky.fr/
fais scanner tout l'ordi et poste le rapport pour voir

n°2433929
SwaaN
C'est pas faux !
Posté le 10-06-2006 à 16:22:58  profilanswer
 

impossible de telecharger le petit logiciel de kaspersky, quand j'accepte d'installer leur controle ActiveX il me renvoit sur la page d'accueil.
 
J'ai remis ma gestion des cookies en mode normal, au cas ou, rien à faire. J'ai même coupé la pare-feu, pareil.

n°2433932
eZula
Posté le 10-06-2006 à 16:26:25  profilanswer
 

essaye la version ricaine, parfois ça marche http://www.kaspersky.com/virusscanner ("Kaspersky Online Scanner" )
 
avec internet explorer
 
si ça foire encore :
 
Dans internet explorer, vas dans outils/options internet.
Dans l'onglet sécurité, places toi sur la zone "internet" et cliques valeurs par défaut. Vas ensuite à l'onglet avancé et cliques aussi sur valeurs par défaut.
Reconnectes toi sur le site et au moment de télécharger l'active X, au dessus dans la barre de Internet Explorer, tu verras il faut autoriser l'active X.

n°2433940
SwaaN
C'est pas faux !
Posté le 10-06-2006 à 16:35:02  profilanswer
 

ok c'est lancé avec la version ricaine, je post dès que c'est fait  :)

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3
Page Suivante
Page Précédente
Haut de page 

Aller à :
Ajouter une réponse
 

Sujets relatifs
les GPO ordinateurs ne se mettent plus à jour sur les pc [résolu][résolu]Hauteur de ligne avec Word
Problemes avec Xp home pack Sp2 RESOLU[RESOLU] Firefox sous Windows et Ubuntu
Impossible d'installer des extensions avec firefox [Résolu]Spy Falcon - l'antivirus qui s'installe tout seul [Résolu]
[RESOLU] probleme instalation 9 telecomprobleme lancement logiciel (musée Orsay et Ermitage) [Resolu]
[résolu]probleme avec runas + clef registre savecredcdex, aspi et XP: problème d'ASPI [résolu]
Plus de sujets relatifs à : SpywareQuake est une vraie tare! [RESOLU]

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.159 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR