Aller au contenu


Photo
- - - - -

infeste de spywares et autres


  • Veuillez vous connecter pour répondre
5 réponses à ce sujet

#1 galak

galak

    Junior Member

  • Membres
  • 7 messages

Posté 16 février 2005 - 05:38

Bonjour a tous,
bon je vous explique le pb vite fait. J'ai deja fait le tour de ce forum et de pas mal d'autres mais mon pb a l'air d'etre plus important (en nombre :-P )
En gros je pense que j'ai du cliquer sur yes ou je ne sais pas quoi pendant que je navigais sur un site de fesses et d'un seul coup pleins d'icones sont apparus sur mon bureau: protect your data, evidence eraser, virus hunter security, spyware avenger, your platinum visa...
Je me suis aussi retrouve avec une page de IE "comedy central" qui s'ouvre automatiquement au demarrage de windows avec un icone dans la barre des taches qui des fois se change en smiley. Sinon j'ai aussi des popups "only the best" et ma page d'accueil qui est devenue "about:blank". J'ai aussi des fenetres virus report qui s'ouvrent, des "you must click yes to continue" alors que je ne fais rien, le fameux fond d'ecran "warning you're in danger" encore plein plein d'autres choses :P .

J'ai essaye bcp de choses differentes: adaware, spybot (qui a deconne a la fin).... mais ils reapparaissent toujours. Le plus efficace que j'ai trouve c'est spysweep qui m'a permi de m'en debarasser pendant quelques minutes. Mais des qu'il se desactive tout reapparrrait... comme par magie :-(

Bon j'ai vu qu apparemment il fallait utiliser hijack this donc je vous post le log parce que c'est ce que tout le monde fait :-P

Logfile of HijackThis v1.99.0
Scan saved at 11:29:00 AM, on 2/16/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\ecpefzes6.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\soft.exe
C:\WINNT\system32\tp4mon.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\ltmsg.exe
C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe
C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPMon32.exe
C:\WINNT\system32\RUNDLL32.exe
C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\WINNT\winuk.exe
C:\WINNT\System32\rsvp.exe
C:\Program Files\NetAssistant\bin\mpbtn.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINNT\system32\atlgf.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\WINNT\aiacbde.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\180Solutions\sais.exe
C:\WINNT\ptcore.exe
C:\WINNT\system32\Mtpjhp.exe
C:\Program Files\Web_Rebates\WebRebates1.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
c:\winnt\system32\uimxmbu.exe
c:\winnt\system32\packager.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\Desktop\New Folder\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\vuewy.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\vuewy.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\vuewy.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\vuewy.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\vuewy.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\vuewy.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\vuewy.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Sympatico Internet Service
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: run=C:\WINNT\system32\soft.exe
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINNT\isrvs\sysupd.dll (file missing)
O2 - BHO: (no name) - {6A24BB55-28DF-AC94-46B5-54FCCF14F6E1} - (no file)
O2 - BHO: (no name) - {B5AE643E-99E3-0314-D6A4-8C5C1CBB4CDD} - C:\WINNT\netcb32.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IBMPMSVC] %SystemRoot%\System32\ibmpmsvc.exe -helper
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NETASS~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [IPInSightLAN 01] "C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe" -l
O4 - HKLM\..\Run: [IPInSightMonitor 01] "C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPMon32.exe"
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [atlgf.exe] C:\WINNT\system32\atlgf.exe
O4 - HKLM\..\Run: [Web Service] C:\WINNT\system32\web.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINNT\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINNT\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe
O4 - HKLM\..\Run: [Systems Restart] Rundll32.exe boln.dll, DllRegisterServer
O4 - HKLM\..\Run: [version] C:\WINNT\system32\Vvswak.exe
O4 - HKLM\..\Run: [secure] C:\WINNT\system32\Mtpjhp.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [uimxmbu] c:\winnt\system32\uimxmbu.exe
O4 - HKLM\..\Run: [Pk0TwHe8] C:\WINNT\aiacbde.exe
O4 - HKLM\..\Run: [farmmext] C:\WINNT\farmmext.exe
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\djtopr1150.exe"
O4 - HKCU\..\Run: [Web Service] C:\WINNT\system32\web.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: NetAssistant.lnk = C:\Program Files\NetAssistant\bin\matcli.exe
O8 - Extra context menu item: &AIM Search - res://C:\Program Files\AIM Toolbar\AIMBar.dll/aimsearch.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Program Files\AWS\WeatherBug\Weather.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.sympatico.ca
O15 - Trusted Zone: *.addictivetechnologies.com
O15 - Trusted Zone: *.addictivetechnologies.net
O15 - Trusted Zone: *.admin2cash.biz
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.bettersearch.biz
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.f1organizer.com
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.pizdato.biz
O15 - Trusted Zone: *.private-dialer.biz
O15 - Trusted Zone: *.private-iframe.biz
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.vse-moe.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai...all/xscan53.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.co...ysb_regular.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://static.topcon...vex/loader2.ocx
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O23 - Service: yogtnxsxcmdg - Unknown - C:\WINNT\system32\ecpefzes6.exe
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IBM PM Service - IBM Corp. - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: SBHookSvc - Motive Communications, Inc. - C:\PROGRA~1\NETASS~1\SMARTB~1\SBHookSvc.exe
O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINNT\winuk.exe



Dites moi ce que je dois faire s'il vous plait. Merci pour votre patience :-P
  • 0

PUBLICITÉ

    Annonces Google

#2 L@urendo

L@urendo

    Extrem Member

  • Membres
  • 764 messages

Posté 16 février 2005 - 06:21

Salut,
Commence par installer Antivir, mets le à jour et configure le correctement à l'aide de ce lien http://assiste.free....res/antivir.php
Redémarre en mode sans échec ( F8 au démarrage ), et fais uns scan de ton ordi avec antivir et supprime tous ce qu'il te dit.

Supprime ensuites ces fichiers :
C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe
C:\WINNT\winuk.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINNT\system32\atlgf.exe
C:\Program Files\180Solutions\sais.exe
C:\Program Files\Web_Rebates\WebRebates1.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
c:\winnt\system32\uimxmbu.exe
c:\winnt\system32\packager.exe
C:\WINNT\system32\Mtpjhp.exe
C:\WINNT\ptcore.exe

Puis à l'aide de hijackthis, tu répares ( Fix ) :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\vuewy.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\vuewy.dll/sp.html#12345    
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank	
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\vuewy.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\vuewy.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\vuewy.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\vuewy.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\vuewy.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Sympatico Internet Service
R3 - Default URLSearchHook is missing
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINNT\isrvs\sysupd.dll (file missing)
O2 - BHO: (no name) - {6A24BB55-28DF-AC94-46B5-54FCCF14F6E1} - (no file)
O4 - HKLM\..\Run: [IPInSightLAN 01] "C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe" -l      	Méchant
O4 - HKLM\..\Run: [atlgf.exe] C:\WINNT\system32\atlgf.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINNT\isrvs\desktop.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\djtopr1150.exe"
O8 - Extra context menu item: &AIM Search - res://C:\Program Files\AIM Toolbar\AIMBar.dll/aimsearch.htm
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Program Files\AWS\WeatherBug\Weather.exe (file missing) (HKCU)
Toutes les lignes 015
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab      	Méchant
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab    	Méchant
016 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://static.topconverting.com/activex/loader2.ocx    	Méchant
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O23 - Service: yogtnxsxcmdg - Unknown - C:\WINNT\system32\ecpefzes6.exe
023 - Service: SBHookSvc - Motive Communications, Inc. - C:\PROGRA~1\NETASS~1\SMARTB~1\SBHookSvc.exe      	Inconnu
023 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINNT\winuk.exe

Une fois tout cela fait, tu reboot et tu refais un log de hijackthis.
Attend l'avis d'autres membres, je suis faillible.

Modifié par L@urendo, 16 février 2005 - 06:23 .

  • 0

#3 Phengizy

Phengizy

    Godlike Member

  • Membres
  • 3 247 messages

Posté 16 février 2005 - 06:22

salut galak,
D'abord va sur: http://hijackthis.de...ngselect=french
Evalue et lis bien tout en bas de l'évaluation :P
Bon courage
@ +
  • 0

#4 gringojack

gringojack

    Power Member

  • Membres
  • 188 messages

Posté 16 février 2005 - 07:02

salut galak

le cul ca n a pas que du bon!

il m est deja arrive quelque chose de similaire
sauvegarde
repere tous les noms que tu peux voir
recherches des fichiers a ces noms
tu peux aussi aller, dans le registre:

HKEY_LOCAL_MACHINE /SOFTWARE/Microsoft/Windows/CurrentVersion/Uninstall

et verifies si il y a des noms que tu as glane auparavant
Toutes ces cles que tu pourrais trouver, ainsi que celles de programmes que tu es sur de plus avoir,dans le pane de gauche, tu peux les enlever

Si ils t ont mis une icone sur le bureau, fais un clic droit >> proprietes. Ainsi tu peux voir ce que commande l icone, et remonter a la source

bon courage et PRUDENCE!!
  • 0

#5 bronson

bronson

    Full Patch Member

  • Membres
  • 1 811 messages

Posté 16 février 2005 - 08:03

tu peux essayer l'antispyware de Microsoft en version beta. je l'ai DL et installé. il m'a sortii un belle liste de mer...qu'il a supprimé après coup...
c'est là http://www.microsoft...en&Hash=JMBRPKC
  • 0

#6 galak

galak

    Junior Member

  • Membres
  • 7 messages

Posté 16 février 2005 - 08:36

okeiche merci
je vais essayer un peu de tout ca et je vous tiens au courant :P
  • 0









Sujets similaires :     x