Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1478 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  spywayre magic control agent

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

spywayre magic control agent

n°2263956
traileur
course
Posté le 20-12-2005 à 17:11:48  profilanswer
 

Bonsoir,
 
J ai depuis quelques jours sur mon pc le spywayre magic control agent.
J aimerais connaitre la methode pour s en debarrasser definitivement
J ai lu et effectue pas mal de choses mais il est toujours present
 
Merci


---------------
traileur
mood
Publicité
Posté le 20-12-2005 à 17:11:48  profilanswer
 

n°2264042
regis41
Posté le 20-12-2005 à 17:58:45  profilanswer
 

salut
 
demarre en sans echec et lance le scan de spybot et essai de corriger
 
si ca marche pas, copie/colle le rapport de spybot
 
a+

n°2278164
Jeanmich-3​3
Posté le 02-01-2006 à 21:19:53  profilanswer
 

Bonsoir,
 
j'ai le même problème.
Celui-ci est installé depuis un mois sur mon PC
où il semble couler des jours heureux, faisant fi
des SPYBOT; NORTON; ADAWARE et autre FlowProtector...
En mode sans échec ou pas, avec restauration du système
active ou pas...
Bref, de quoi péter un "câble"!
 
Si vous avez des conseils, je suis preneur...
Bonne année 2006,
 
JeanmicH

n°2281917
aspretto
Posté le 05-01-2006 à 21:51:56  profilanswer
 

regis41 a écrit :

salut
 
demarre en sans echec et lance le scan de spybot et essai de corriger
 
si ca marche pas, copie/colle le rapport de spybot
 
a+


Vu et essaye mais ça ne marche pas.En tout cas la discussion reste ouverte  et silasoluce se presente on n'hesiteras pas
Bonsoir

n°2473375
Darkblade6​666
Posté le 27-07-2006 à 14:42:49  profilanswer
 

bonjour j'arrive pas a me debarrasser de ce trojan, avec spybot,adaware  
 
voila le rapport de hijackthis  
 
 
Logfile of HijackThis v1.99.1  
Scan saved at 14:16:42, on 27/07/2006  
Platform: Windows XP SP2 (WinNT 5.01.2600)  
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)  
 
Running processes:  
C:\WINDOWS\System32\smss.exe  
C:\WINDOWS\system32\csrss.exe  
C:\WINDOWS\system32\winlogon.exe  
C:\WINDOWS\system32\services.exe  
C:\WINDOWS\system32\lsass.exe  
C:\WINDOWS\system32\Ati2evxx.exe  
C:\WINDOWS\system32\svchost.exe  
C:\WINDOWS\system32\svchost.exe  
C:\WINDOWS\System32\svchost.exe  
C:\Program Files\Fichiers communs\STOPzilla!\SZServer.exe  
C:\WINDOWS\system32\Ati2evxx.exe  
C:\WINDOWS\Explorer.EXE  
C:\WINDOWS\system32\svchost.exe  
C:\WINDOWS\system32\svchost.exe  
C:\WINDOWS\system32\spoolsv.exe  
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe  
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe  
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe  
C:\Program Files\Winamp\winampa.exe  
C:\Program Files\DAEMON Tools\daemon.exe  
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe  
C:\Program Files\SuperCopier2\SuperCopier2.exe  
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe  
C:\Program Files\MSN Messenger\msnmsgr.exe  
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe  
C:\PROGRA~1\INCRED~1\bin\IMAPP.EXE  
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe  
C:\Program Files\Alwil Software\Avast4\ashServ.exe  
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe  
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe  
C:\WINDOWS\System32\alg.exe  
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe  
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe  
C:\WINDOWS\system32\wuauclt.exe  
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe  
C:\Program Files\Internet Explorer\IEXPLORE.EXE  
C:\WINDOWS\system32\rundll32.exe  
C:\Documents and Settings\Predator\Bureau\Patch.exe  
C:\Program Files\STOPzilla!\STOPzilla.exe  
C:\Program Files\UltraVNC\vncviewer.exe  
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE  
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.incredimail.com/french  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie  
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens  
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll  
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll  
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll  
O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\Program Files\STOPzilla!\SZIEBHO.dll  
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay  
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"  
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe  
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe  
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe  
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033  
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe  
O4 - HKLM\..\Run: [STOPzilla] C:\Program Files\STOPzilla!\STOPzilla.exe /autostart  
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe  
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c  
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"  
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart  
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background  
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe  
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll  
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll  
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe  
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe  
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL  
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL  
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll  
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe  
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe  
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe  
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe  
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)  
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)  
O23 - Service: STOPzilla Service (szserver) - Unknown owner - C:\Program Files\Fichiers communs\STOPzilla!\SZServer.exe  
 
 
 
rapport de spybot:  
 
 MagicControl.Agent: Réglages utilisateur (Clé du registre, nothing done)  
  HKEY_USERS\S-1-5-21-484763869-261903793-725345543-1003\Software\LanConfig  
 
 
--- Spybot - Search & Destroy version: 1.4  (build: 20050523) ---  
 
2006-07-10 unins000.exe (51.41.0.0)  
2005-05-31 blindman.exe (1.0.0.1)  
2005-05-31 SpybotSD.exe (1.4.0.3)  
2005-05-31 TeaTimer.exe (1.4.0.2)  
2005-05-31 Update.exe (1.4.0.0)  
2005-05-31 aports.dll (2.1.0.0)  
2005-05-31 borlndmm.dll (7.0.4.453)  
2005-05-31 delphimm.dll (7.0.4.453)  
2005-05-31 SDHelper.dll (1.4.0.0)  
2005-05-31 UnzDll.dll (1.73.1.1)  
2005-05-31 ZipDll.dll (1.73.2.0)  
2006-02-06 advcheck.dll (1.0.2.0)  
2006-02-20 Tools.dll (2.0.0.2)  
2006-07-21 Includes\Cookies.sbi (*)  
2006-07-21 Includes\Dialer.sbi (*)  
2006-07-21 Includes\Hijackers.sbi (*)  
2006-07-21 Includes\Keyloggers.sbi (*)  
2006-07-21 Includes\Malware.sbi (*)  
2006-07-21 Includes\Revision.sbi (*)  
2006-07-21 Includes\Security.sbi (*)  
2006-07-21 Includes\Spybots.sbi (*)  
2006-07-21 Includes\Trojans.sbi (*)  
2004-11-29 Includes\LSP.sbi (*)  
2005-02-17 Includes\Tracks.uti  
2006-07-21 Includes\PUPS.sbi (*)  
 
j'ai deja essayer de virer la clé avec regedit mais il revient, si vous pouvez me donnez un coup de main, sa serait sympa Merci.

n°2473456
Darkblade6​666
Posté le 27-07-2006 à 15:51:05  profilanswer
 

:bounce:

n°2473763
Darkblade6​666
Posté le 27-07-2006 à 19:56:30  profilanswer
 

up

n°2473767
eZula
Posté le 27-07-2006 à 20:02:54  profilanswer
 

bonjsoir
 
que donne le rapport de Blacklight ? inutile de te dire qu'avec une recherche de magic control agent, on tombe rapidement sur l'utilisation de ce logiciel.

n°2473797
Darkblade6​666
Posté le 27-07-2006 à 20:47:47  profilanswer
 

voila le rapport
07/27/06 20:31:45 [Info]: BlackLight Engine 1.0.42 initialized
07/27/06 20:31:45 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/27/06 20:31:45 [Note]: 7019 4
07/27/06 20:31:45 [Note]: 7005 0
07/27/06 20:31:49 [Note]: 7006 0
07/27/06 20:31:49 [Note]: 7011 1828
07/27/06 20:31:49 [Note]: 7026 0
07/27/06 20:31:50 [Note]: 7026 0
07/27/06 20:31:50 [Note]: 7024 3
07/27/06 20:31:50 [Info]: Hidden process: C:\windows\system32\teoymcxfq.exe
07/27/06 20:31:50 [Note]: FSRAW library version 1.7.1019
07/27/06 20:32:12 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\TEOYMC~1.EXE
07/27/06 20:32:12 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\TEOYMC~1.DAT
07/27/06 20:32:12 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\TEOYMC~2.DAT
07/27/06 20:32:13 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\TEA6CB~1.DAT
07/27/06 20:32:19 [Info]: Hidden file: c:\WINDOWS\Prefetch\TEOYMC~1.PF
07/27/06 20:47:26 [Note]: 7007 0
 
 
 
sinon j'ai beaucoup de popop de system doctor est ce lié?

n°2473800
eZula
Posté le 27-07-2006 à 20:50:29  profilanswer
 

oui c'est complètement lié. C'est l'adware Navipromo qui provoque ces popups, et cet adware, tu le vois dans ton rapport blacklight.
 
dernier point avant d'en finir : Fais un clic droit de souris sur ce lien http://perso.numericable.fr/~altsh [...] ers/IA.bat / "enregistrer sous"
Mets le fichier sur le bureau, double-clique dessus.
Ne tiens pas compte de ce qui sera écrit dans la fenetre noire
un rapport va s'ouvrir au bout de quelques instants, dans un fichier texte : poste-le.  
 
ce rapport peut mettre en évidence d'autres éléments liés à Navipromo

mood
Publicité
Posté le 27-07-2006 à 20:50:29  profilanswer
 

n°2473825
Darkblade6​666
Posté le 27-07-2006 à 21:25:08  profilanswer
 

voila:
*** Répertoires ***
 
 Le volume dans le lecteur C s'appelle SYSTEME
 Le num‚ro de s‚rie du volume est 44B2-D793
 
 R‚pertoire de C:\Program Files\Fichiers communs
 
10/07/2006  22:53    <REP>          .
10/07/2006  22:53    <REP>          ..
10/07/2006  23:16    <REP>          Adobe
10/07/2006  23:47    <REP>          Ahead
10/07/2006  23:16    <REP>          InstallShield
11/07/2006  00:01    <REP>          InterVideo
10/07/2006  23:17    <REP>          Java
10/07/2006  22:53    <REP>          Microsoft Shared
10/07/2006  22:59    <REP>          MSSoap
10/07/2006  23:27    <REP>          NVIDIA Shared
10/07/2006  22:53    <REP>          ODBC
10/07/2006  22:59    <REP>          Services
10/07/2006  22:53    <REP>          SpeechEngines
27/07/2006  13:09    <REP>          STOPzilla!
10/07/2006  22:59    <REP>          System
               0 fichier(s)                0 octets
              15 R‚p(s)   4ÿ511ÿ170ÿ560 octets libres
 Le volume dans le lecteur C s'appelle SYSTEME
 Le num‚ro de s‚rie du volume est 44B2-D793
 
 R‚pertoire de C:\Program Files
 
10/07/2006  22:53    <REP>          .
10/07/2006  22:53    <REP>          ..
10/07/2006  23:15    <REP>          Adobe
10/07/2006  23:35    <REP>          Alwil Software
10/07/2006  23:21    <REP>          ATI Technologies
10/07/2006  22:58    <REP>          ComPlus Applications
11/07/2006  14:20    <REP>          DAEMON Tools
11/07/2006  00:02    <REP>          DivX
10/07/2006  23:39    <REP>          DVD Shrink
10/07/2006  23:59    <REP>          DVDFab Platinum
10/07/2006  22:53    <REP>          Fichiers communs
27/07/2006  14:52    <REP>          Google
15/07/2006  13:49    <REP>          Hamachi
27/07/2006  14:16    <REP>          Hijackthis Version Fran‡aise
10/07/2006  23:38    <REP>          IncrediMail
11/07/2006  00:02    <REP>          InterActual
10/07/2006  22:59    <REP>          Internet Explorer
12/07/2006  12:59    <REP>          InternetGameBox
14/07/2006  20:44    <REP>          InterVideo
14/07/2006  20:44    <REP>          InterVideo Information Service
10/07/2006  23:17    <REP>          Java
10/07/2006  23:09    <REP>          JEUX
25/07/2006  12:03    <REP>          Lavasoft
10/07/2006  23:15    <REP>          Messenger
19/07/2006  14:17    <REP>          Messenger Plus! Live
11/07/2006  12:45    <REP>          MessengerPlus! 3
10/07/2006  23:02    <REP>          microsoft frontpage
10/07/2006  23:13    <REP>          Microsoft Office
10/07/2006  22:59    <REP>          Movie Maker
10/07/2006  23:52    <REP>          Mozilla Firefox
10/07/2006  22:58    <REP>          MSN Gaming Zone
11/07/2006  00:02    <REP>          MSN Messenger
11/07/2006  00:02    <REP>          MSXML 4.0
10/07/2006  23:47    <REP>          Nero
10/07/2006  22:59    <REP>          NetMeeting
10/07/2006  23:27    <REP>          NVIDIA Corporation
10/07/2006  23:34    <REP>          OpenOffice.org 2.0
10/07/2006  22:59    <REP>          Outlook Express
10/07/2006  23:15    <REP>          Photo Story 3 for Windows
27/07/2006  14:45    <REP>          RegCleaner
10/07/2006  23:43    <REP>          Satsuki Decoder Pack
10/07/2006  23:33    <REP>          Spybot - Search & Destroy
27/07/2006  13:09    <REP>          STOPzilla!
10/07/2006  23:38    <REP>          SuperCopier2
10/07/2006  23:31    <REP>          UltraVNC
10/07/2006  23:09    <REP>          UTILS
10/07/2006  23:51    <REP>          Winamp
10/07/2006  23:13    <REP>          Windows Journal Viewer
10/07/2006  23:14    <REP>          Windows Media Components
10/07/2006  23:01    <REP>          Windows Media Connect 2
10/07/2006  22:58    <REP>          Windows Media Player
10/07/2006  22:58    <REP>          Windows NT
10/07/2006  23:49    <REP>          WinRAR
10/07/2006  23:14    <REP>          WMV9_VCM
10/07/2006  23:02    <REP>          xerox
               0 fichier(s)                0 octets
              55 R‚p(s)   4ÿ511ÿ170ÿ560 octets libres
 
*** Fichiers ***
 
 Le volume dans le lecteur C s'appelle SYSTEME
 Le num‚ro de s‚rie du volume est 44B2-D793
 Le volume dans le lecteur C s'appelle SYSTEME
 Le num‚ro de s‚rie du volume est 44B2-D793
 Le volume dans le lecteur C s'appelle SYSTEME
 Le num‚ro de s‚rie du volume est 44B2-D793
 
 R‚pertoire de C:\Program Files\OpenOffice.org 2.0\program
 
10/02/2006  22:30            14ÿ848 egi680mi.dll
               1 fichier(s)           14ÿ848 octets
 
     Total des fichiers list‚sÿ:
               1 fichier(s)           14ÿ848 octets
               0 R‚p(s)   4ÿ511ÿ170ÿ560 octets libres
 Le volume dans le lecteur C s'appelle SYSTEME
 Le num‚ro de s‚rie du volume est 44B2-D793
 Le volume dans le lecteur C s'appelle SYSTEME
 Le num‚ro de s‚rie du volume est 44B2-D793
 Le volume dans le lecteur C s'appelle SYSTEME
 Le num‚ro de s‚rie du volume est 44B2-D793
 Le volume dans le lecteur C s'appelle SYSTEME
 Le num‚ro de s‚rie du volume est 44B2-D793
 
*** Registre ***
 
 
HKEY_CURRENT_USER\Software\epk_extr
 
 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
 
 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
 
 
Magic Control
 
HKEY_USERS\S-1-5-21-484763869-261903793-725345543-1003\Software\LanConfig
 
*** Terminé ***
 
merci pour ton aide

n°2473826
Darkblade6​666
Posté le 27-07-2006 à 21:27:51  profilanswer
 

le pire c'est que tout mon reseau local est infesté (3pc) :whistle:


Message édité par Darkblade6666 le 27-07-2006 à 21:28:05
n°2473829
eZula
Posté le 27-07-2006 à 21:35:00  profilanswer
 

alors regarde bien la méthode, car c'est toujours la même pour ce type d'infection. Ce qui change, c'est le nom de l'adware trouvé par blacklight.
 
Note comment démarrer en mode sans échec (choisis ta version de windows, si tu le peux, utilise préférentiellement la touche F8 ) : http://service1.symantec.com/SUPPO [...] 5112131924
Tu vas t'en servir de l'étape 3 à l'étape 10 sans accès à internet.
 
1/ Télécharge :
 
- CCleaner http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
 
- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip
Décompresse-le dans un dossier propre à lui (C:\BFU)
FAIS UN CLIC-DROIT sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisi "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous.." )
afin de télécharger EGDACCESS Remover (de Metallica), Type "Tous les fichiers". Sauvegarde dans le dossier créé (c:\BFU)
 
- PocketKillBox http://www.bleepingcomputer.com/fi [...] illBox.zip
Dézippes-le sur ton bureau.
 
 
2/ Crée un nouveau document texte : clic droit de souris sur le bureau, "nouveau"> "document texte". Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, ligne vide comprise à la fin (copie tout d'un trait) :
 

Citation :

REGEDIT4
 
[-HKEY_USERS\S-1-5-21-484763869-261903793-725345543-1003\Software\LanConfig]
[-HKEY_CURRENT_USER\Software\epk_extr]  
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\teoymcxfq]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\teoymcxfq]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"teoymcxfq"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"teoymcxfq"=-
 


 
Dans le menu "fichier" de ce document texte, sélectionner "enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix0.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
L'icône de fix0.reg doit ressembler à cela http://www.hiboox.com/images/4905/avnoztv.jpg
 
 
*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte admin ou autre)*****
 
 
3/ Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe. Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci :
c:\bfu\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique sur Exit pour fermer le programme BFU.
Recommence encore une fois.
 
4/ Démarrer/panneau de configuration/options internet
- onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"
=> Supprime-les tous
 
5/ Recherche et supprime ces dossiers ou fichiers, si tu les trouves encore :
 
dans C:\WINDOWS\Prefetch, supprime tout fichier dont le nom commence par "teoymcxfq"
 
6/ Vide la corbeille.
 
7/ double clique sur fix0.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"
 
8/ Lance CCleaner, "Nettoyeur"/"lancer le nettoyage" et c'est tout.
 
9/ Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".
 
copie d'un trait les lignes de la citation suivante :
 

Citation :

c:\WINDOWS\system32\teoymcxfq.exe
c:\WINDOWS\system32\teoymcxfq.dat
c:\WINDOWS\system32\teoymcxfq_nav.dat
c:\WINDOWS\system32\teoymcxfq_navps.dat


 
=> clic droit / "copier"
 
Sur PocketKillBox --> menu "File" --> "Paste from Clipboard" (tu ne verras rien se passer). Tu peux vérifier dans le menu déroulant que tous les fichiers sont bien présents.
- clique sur le bouton "all files"
- clique ensuite sur la croix rouge
 
Au deux messages qui vont s'afficher,tu réponds par "YES"
L'ordinateur doit redémarrer, sinon, fais le toi-même, quoiqu'il arrive.
 
10/ Supprime le dossier C:\!Killbox et poste un nouveau rapport blbeta.
 
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

n°2473876
Darkblade6​666
Posté le 27-07-2006 à 22:46:28  profilanswer
 

07/27/06 22:34:36 [Info]: BlackLight Engine 1.0.42 initialized
07/27/06 22:34:36 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/27/06 22:34:37 [Note]: 7019 4
07/27/06 22:34:37 [Note]: 7005 0
07/27/06 22:34:53 [Note]: 7006 0
07/27/06 22:34:53 [Note]: 7011 1812
07/27/06 22:34:53 [Note]: 7026 0
07/27/06 22:34:53 [Note]: 7026 0
07/27/06 22:34:59 [Note]: FSRAW library version 1.7.1019
07/27/06 22:36:40 [Note]: 7007 0
 
 
voila je pense que c'est OK, je te remercie de ton aide je vais repeter cet operation sur l'ensembles de mes pc.

n°2473880
eZula
Posté le 27-07-2006 à 23:00:23  profilanswer
 

donc pour les autres pc...
 
n'utilse pas IA.bat si tu ne sais pas à quoi correspondent les résultats
 
pour le fichier fix0.reg, ce qui va changer c'est :
- le chemin de la clé Lanconfig (Spybot te le donnera)
- le nom de l'adware que blbeta va te donner, donc il te suffit juste de remplacer "teoymcxfq" par ce que te dira blacklight
 
pour killbox, c'est pareil, remplace teoymcxfq par ce que trouve blbeta mais en laissant les extensions à ka suite :
 
c:\WINDOWS\system32\#.exe
c:\WINDOWS\system32\#.dat
c:\WINDOWS\system32\#_nav.dat
c:\WINDOWS\system32\#_navps.dat
 
regarde dans le prefetch aussi, supprime le fichier dont le nom commence par #
 
quand blbeta ne trouve plus rien, le pb est réglé

n°2473919
Darkblade6​666
Posté le 28-07-2006 à 00:10:54  profilanswer
 

sa fonctionne impec merci! et en plus mon serveur est beaucoup plus rapide a demarrer :)

n°2473924
eZula
Posté le 28-07-2006 à 00:16:25  profilanswer
 

désormais, si tu vois quelqu'un qui poste un sujet "j'ai un problème magic control agent" tu sauras quoi lui dire  :p  
 
à+

n°2473928
Darkblade6​666
Posté le 28-07-2006 à 00:21:40  profilanswer
 

faudrais pas que j'oublie comment on fait [:ddr555]
 
non sa va allez :o  je me souviendrais du trojan qui ma pourri une après midi et une soirée complete. Suffira de retrouve ce topic :whistle:
 
 
edit: je savais bien que ton pseudo me disait quelque chose :D  
 
http://forum.hardware.fr/forum2.ph [...] w=0&nojs=0 tu m'avais deja aidé a virer celui la :whistle:  
 
 
merci en tous cas :hello:


Message édité par Darkblade6666 le 28-07-2006 à 00:24:54

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  spywayre magic control agent

 

Sujets relatifs
control parental pour FireFox 1.5 ?désactiver le control de disque au boot
Linux DHCP et windows Agent Relai DHCPformatage partition magic => "bad system file name"
Oup's ! partition magic et hop 38Go en moins...Partition magic probleme
OPC Ome for Process Control kelkun connait ?Logicel de control a distance et sécurité ?
suppression control activex 
Plus de sujets relatifs à : spywayre magic control agent


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR