Forums Zebulon.fr: Spyware - Forums Zebulon.fr

Aller au contenu

Page 1 sur 1
  • Vous ne pouvez pas commencer un sujet
  • Vous ne pouvez pas répondre à ce sujet

Spyware Noter : -----

#1 L'utilisateur est hors-ligne   kini1 

  • Mega Power Member
  • Groupe : Membres
  • Messages : 431
  • Inscrit(e) : 11-septembre 05

Posté 02 novembre 2005 - 03:44

Bonjour!!

J'ai fait un scan avec Norton tout va bien!!
J'ai fait Adaware tout est bien
J'ai fait Spybot lui me trouve toujours (Windows security Center.Antivirus override) que j'elimine
chaque fois...
Et en etant sur le site de Zebulon j'ai fait un scan en ligne avec Panda
et lui me trouve Incident Statut Analyse

Spyware:spyware/dyfuca No Désinfecté C:\WINDOWS\nem220.dll


je vous donne un rapport Hijakthis

Logfile of HijackThis v1.99.1
Scan saved at 15:34:44, on 02.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: Open PDF in Word - res://C:\Program Files\ScanSoft\PDF Converter\IEShellExt.dll /100
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free...redetection.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoft...free/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivi...n/ravonline.cab
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Merci de me repondre amicalement
Jacks
:P
@+Jacks
0

PUBLICITÉ

  • Annonces Google
Inscrivez-vous au forum gratuitement et profitez de nombreux avantages !

#2 L'utilisateur est hors-ligne   Jack_Burton 

  • Godlike Member
  • Groupe : Equipe Sécurité*
  • Messages : 3743
  • Inscrit(e) : 20-avril 05

Posté 02 novembre 2005 - 04:08

Salut,

Si tu penses etre infecté, applique la procédure préliminaire :

Citation

HIJACKTHIS

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

Phase 1

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.fre....php?page=tuto5 )

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

- télécharger la dernière version d'HijackThis ( http://www.merijn.or.../hijackthis.zip ou http://telechargemen...kthis-1991.html en cas d'indisponibilité !)

Phase 2

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.syma...020905112131924 )

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"
Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"
Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"
Puis, cliquer sur "Appliquer".
Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

Phase 3

- nettoyage rapide du disque dur :

Démarrer / Exécuter / taper CleanMgr et valider

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers
C:\TEMP
C:\WINDOWS\TEMP
C:\Documents And Settings\Session utilisateur\Local Settings\Temp
C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

Vider la corbeille

- recherche et élimination des parasites avec Antivir
lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

- installation et utilisation d'HijackThis

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.f...e_hijackthi.htm avec copies d'écran).

- désinstallation d'Antivir

-- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

Phase 4

- redémarrer en mode normal

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

- attendre l'analyse et la réponse.

Auteur : megataupe


Je viens de parcourir vite fait ton rapport et je n y vois rien de vraiment infectueux pour le moment, j attends que tu fasses la procédure préliminaire pour regarder plus longuement!

Citation

Et en etant sur le site de Zebulon j'ai fait un scan en ligne avec Panda
et lui me trouve Incident Statut Analyse

Spyware:spyware/dyfuca No Désinfecté C:\WINDOWS\nem220.dll

Cette dll est infectueuse en effet voir ici !

S il n y a que ca, rien de bien compliqué pour l éradiquer :

1/ Démarrage en mode sans échec

2/ Vérifie d'avoir accès à tous les fichiers

Citation

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


3/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :
C:\WINDOWS\nem220.dll

4/ Redémarrage en mode normal et nouveau scan en ligne chez panda pour voir s il détecte a nouveau cette dll infectueuse!
Jack
----------
La charte zébulonienne / Pré-Nettoyage d'un PC infecté, procédure pré-HijackThis / Formation à l'analyse de rapports Hijackthis / Les consignes de sécurité
0

#3 L'utilisateur est hors-ligne   kini1 

  • Mega Power Member
  • Groupe : Membres
  • Messages : 431
  • Inscrit(e) : 11-septembre 05

Posté 02 novembre 2005 - 04:25

Ok je vais essayer demain ton astuce!

Merci je t'enverrai un nouveau rapport!!

A tout bientot et encore merci :P
@+Jacks
0

#4 L'utilisateur est hors-ligne   kini1 

  • Mega Power Member
  • Groupe : Membres
  • Messages : 431
  • Inscrit(e) : 11-septembre 05

Posté 02 novembre 2005 - 07:02

Hello!!

[J'ai essayer d'aller eradiquer ce spyware mais
dans le fichier nem220dll il y a rien!!

3/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :
C:\WINDOWS\nem220.dll

et j'ai refait un scan avec Panda et il retrouve toujours ce spyware...

help!!

Merci :P
@+Jacks
0

#5 L'utilisateur est hors-ligne   Jack_Burton 

  • Godlike Member
  • Groupe : Equipe Sécurité*
  • Messages : 3743
  • Inscrit(e) : 20-avril 05

Posté 02 novembre 2005 - 07:09

Re bonsoir,

Citation

dans le fichier nem220dll il y a rien!!

Comment ca "il n y a rien"??? Nous parlons d un fichier pas d un dossier!!
Tu veux dire que tu ne le vois pas??
Impossible si tu as fait apparaitre tous les dossiers & fichiers

Citation

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

Jack
----------
La charte zébulonienne / Pré-Nettoyage d'un PC infecté, procédure pré-HijackThis / Formation à l'analyse de rapports Hijackthis / Les consignes de sécurité
0

#6 L'utilisateur est hors-ligne   kini1 

  • Mega Power Member
  • Groupe : Membres
  • Messages : 431
  • Inscrit(e) : 11-septembre 05

Posté 03 novembre 2005 - 03:55

Bonjour!

En effet le fichier nem220dll est bien dans c:\Windows
et la propriete c'est Extension de l'application...
c'est donc ca que je dois supprimé?

Desolé mais j'avais vu ce fichier dans windows mais
je ne sais toujours pas si c'est bien ca que je dois supprimer??

en taille ce fichier fait 0 octets!!

Merci
Jacks :P :P
@+Jacks
0

#7 L'utilisateur est hors-ligne   Jack_Burton 

  • Godlike Member
  • Groupe : Equipe Sécurité*
  • Messages : 3743
  • Inscrit(e) : 20-avril 05

Posté 03 novembre 2005 - 04:50

Bonsoir,

Je dois écrire chinois apparemment... :P

Tu dois supprimer ce fichier
C:\WINDOWS\nem220.dll<----- celui ci !!!!
Meme s il fait 0 octet tu le supprimes!!!

Applique ce que je t ai indiqué sur mon 1er post :

Citation

1/ Démarrage en mode sans échec

2/ Vérifie d'avoir accès à tous les fichiers
QUOTE
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


3/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :
C:\WINDOWS\nem220.dll

4/ Redémarrage en mode normal et nouveau scan en ligne chez panda pour voir s il détecte a nouveau cette dll infectueuse!

Ce message a été modifié par Jack_Burton - 03 novembre 2005 - 04:54 .

Jack
----------
La charte zébulonienne / Pré-Nettoyage d'un PC infecté, procédure pré-HijackThis / Formation à l'analyse de rapports Hijackthis / Les consignes de sécurité
0

#8 L'utilisateur est hors-ligne   julkien 

  • Full Patch Member
  • Groupe : Membres
  • Messages : 1513
  • Inscrit(e) : 22-mars 04

Posté 03 novembre 2005 - 05:00

Voir le messageJack_Burton, le jeudi 03 novembre 2005 à 16h50, dit :

Bonsoir,

Je dois écrire chinois apparemment... :P



essaye le morse sinon :

.--. . ..- - & . - .-. . & . -. & -- --- .-. ... . & -.-. . .-.. .- & -.-. . & ..-. . .-. .- - & .. .-.. & -- .. . ..- -..- & & .-.. . & -.-. .... .. -. --- .. ... & -.-. . ... - & .--. .- ... & ..-. .- -.-. .. .-.. . & . -. & .--. .-.. ..- ... &
Mon site de Tchat gratuit pour ceux qui en auraient envies !
0

#9 L'utilisateur est hors-ligne   kini1 

  • Mega Power Member
  • Groupe : Membres
  • Messages : 431
  • Inscrit(e) : 11-septembre 05

Posté 03 novembre 2005 - 08:34

Bonsoir...

Yes yes!!
apres un scan avec panda il ne trouve plus rien!!!!

Excuse de ne pas oser tout de suite mais par rapport
à vous je suis plus qu'un amateur.......... :P

Encore un grand merci de votre aide...

:P :-P
bonne soirée
Jacks
@+Jacks
0
Page 1 sur 1
  • Vous ne pouvez pas commencer un sujet
  • Vous ne pouvez pas répondre à ce sujet

Similar Topics
  Sujet Commencé par Statistiques Infos sur le dernier message
Sujet ouvert (nouvelles réponses) Spyware Terminator yvon_65 
  • 1 réponses
  • 317 vues
Sujet chaud (nouvelles réponses) [Résolu] Infection Spyware Agence Exclusive Nuzzler 
  • 23 réponses
  • 1762 vues
Sujet ouvert (nouvelles réponses) [Résolu] Infecté par malware.packer.gen -adware.hotbar - spyware.onlin papyreunion 
  • 2 réponses
  • 897 vues
Sujet ouvert (nouvelles réponses) Piegé par Spyware Terminator et Web Security Guard
pages intempestives sur Mozilla sur windows seven 		jjjjulious 
  • 10 réponses
  • 1069 vues
Sujet chaud (nouvelles réponses) virus Vista anti-spyware acerieus 
  • 17 réponses
  • 825 vues
Sujet chaud (nouvelles réponses) Infection Vista Anti-spyware Umbrella3 
  • 17 réponses
  • 1232 vues
Sujet ouvert (nouvelles réponses) Virus ? MS Removal Tool & Vista Anti-Spyware fabregas 
  • 1 réponses
  • 9095 vues
Sujet ouvert (nouvelles réponses) Ramnit virus / vista anti spyware Jeysen 
  • 1 réponses
  • 1013 vues
Sujet ouvert (nouvelles réponses) Pc infecté par Spyware
SpyArsenal 		Rico06 
  • 1 réponses
  • 709 vues
Sujet ouvert (pas de nouvelle réponse) Spyware sur système win 32 parn 
  • 0 réponses
  • 318 vues

1 utilisateur(s) en train de lire ce sujet
0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)



    Page officielle Zebulon.fr