Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Spyware rebel (demande aide)

Orion54

Par Orion54
dans Software

 Partager

Messages recommandés

Orion54 Junior Member

Orion54

Posté(e)
Posté(e) (modifié)

On m'a conseillé ce forum car il parait qu'il existe des pros des challenges, des trucs et astuces, qui ont réponse à beaucoup de choses délicates :-P

 

Alors mon probleme se résume rapidement : un spyware (virus?) que je n'arrive pas à retirer de mon PC.

Je vais vous faire la version longue des manips que j'ai déjà effectué jusque là pour vous poser le probleme et présenter la "bête".

Aprés, j'espere que quelqu'un pourra m'aider :-(

 

 

Mon problème : j'ai une url indésirable qui s'affiche dés que je lance Internet Explorer ou Crazy Browser (que j'utilise toujours pour naviguer sur le net)

 

 

* Sur "proprietes internet" => "pages vierges" => "appliquer" , le about:blank ne se conserve pas. L'url indésirable revient incessamment se replacer!!!

 

 

* J'ai passé plusieurs fois (en restant connecté ou en étant déconnecté) l'un de ces anti-spyware : Adaware, SpyBots, Spyware blaster, HijackThis, et CheckSpy. Pour Bazooka, j'ai interrompu la manip car les procédures en anglais me prennent un peu la tête aprés plusieurs jours de batailles et de prise en mains des différents programme anti-spywares..

 

 

* Pour en revenir au lien au démarrage, il est resté aprés Adaware, aprés Spybots, aprés SpywareBlaster. J'ai Zone Alarm comme pare-feu. Le norton m'a indiqué un trojan "zona" qui revient assez souvent se recaser sur mon pc. Je le vire manuellement mais il doit revenir lors de mes connexions. Aprés, je ne sais pas si c'est lié ou pas avec mon lien indésirable.... (d'ailleurs, d'autres liens viennet aussi se placer automatiquement dans mes liens favoris (environ 3-4 et toujours les meme. Ceux ci aussi reviennent dés que je me reconnecte ..etc..)

 

Donc bref, j'ai qd meme un pti panel de prog qui ont tourné contre les intrusions... J'ai supprimé pas mal de petites choses, corriger quelques trucs mais l'url indésirable au lancement de mon explorateur internet s'affiche sans cesse dés que je souhaite me rendre sur une page internet. Ce qui devient bien pénible.

 

 

* Sinon , voilà aussi une autre de mes tentatives (qu'on m'a conseillé) sur les registres :

J'ai fait : démarrer / executer / regedit

Puis : Edition rechercher

J'ai copier/coller l'url "chiante" et lancé la recherche

Dans les résultats, j'ai supprimé 1à1 chaque fichier retrouvant cette adresse.

Puis F3 pour poursuivre la recherche (et suppression à nouveau des nouveaux resultats, si y'avait)

... et au final, j'ai relancé IE et mon autre explorateur internet et... ce n'etait pas résolu!! (petite rire jaune de dépis)

 

 

* Pour en revenir à HijackThis, voilà le resultat du scan :

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=31130

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31130

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=31130

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=31130

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\W8C6S4~1.DLL

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\8c160pt1gh53g0thd.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O20 - AppInit_DLLs: d2rrd24oew7hzrl.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

 

(Il y a aussi des O23 qui n'ont pas l'air méchant)

Evidemment, lorsque j'ai lu ces résultats, j'ai coché les R0 , R1, O2 , O20 (bizarre aussi celui là!) et appuyer sur "Fix checked". (ce scan hijackthis, je l'ai aussi fait plusieurs fois. Avec ou Sans connexion...Etc)

Au final , R0 , R1 ré-apparaissent encore et toujours lors des scans suivants...

 

J'ai raté quelque chose?

Donc c'est bien en accédant à internet que l'url indésirable (trojan? spyware?) est appelé à péter l'incrust encore et toujours dés que je reviens me connecter.

 

 

 

Conclusion : je fais quoi ? lol (reformatage inévitable?)

Je ne veux plus ces http://win-eto.com/hp.htm?id=31130 ou http://here4search.com/enter.htm?id=9 !!! :P

 

Si il existe une solution (je pense que oui!) , j'espere que la manipulation ne demandera pas de grosses connaissances info ou de temps supplémentaires car ma patience (je reste poli :-P ) est assez éprouvée.

Modifié par Orion54

MumU666 Mega Power Member

MumU666

Posté(e)
Posté(e)

je te conseil de télécharger ceci qui est un petit logiciel bien sympa avec lequel tu peux vérouiller ta page de démarrage d'IE 6

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e) (modifié)

Salut,

 

 

tu te mets en mode sans echec

tu fixes ces lignes :

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=31130

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31130

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=31130

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=31130

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\W8C6S4~1.DLL

 

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

 

O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\8c160pt1gh53g0thd.exe

 

O20 - AppInit_DLLs: d2rrd24oew7hzrl.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

 

ensuite tu vas supprimer les fichier sur le disque dur :

C:\WINDOWS\System32\W8C6S4~1.DLL

C:\WINDOWS\System32\stmctrl.dll

C:\WINDOWS\System32\8c160pt1gh53g0thd.exe

C:\WINDOWS\System32\d2rrd24oew7hzrl.dll

 

ensuite , tu redémarres, tu installes un autre antivirus et tu utilises un autre navigateur

Modifié par tesgaz
Orion54 Junior Member

Orion54

Posté(e)
  • Auteur
Posté(e)

J'osais pas remonter le sujet mais merci. c'est parti !! :P

 

J'ai réussi, non sans mal ! certains petits fichiers ne pouvaient pas etre supprimer : "d2rrd24oew7hzrl.dll" ça me notait "accés refusé". Meme en triturant ds la base de registre, je en pouvais retirer ce fichier. C'est chiant ou quoi?

"W8C6S4~1.DLL" idem, impossible de le virer (sauf en supprimant le répertoire où il était. j'ai pas compris là)

 

Sinon, euh, à quoi correspondait le "stmctrl.dll" , qd j'allume mon pc, voilà le message d'erreur que j'ai:

erreur9lc.gif

cependant, ça ne gene en rien par la suite :-(

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

ca correspond a ceci :

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

 

non supprimer dans msconfig

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)
ca correspond a ceci :

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

 

non supprimer dans msconfig

450372[/snapback]

 

Salut Tesgaz. Juste un petit complément :

 

Nom AdslTaskBar

Commande rundll32.exe stmctrl.dll, TaskBar

Statut Y

Description Le logiciel d'cIsp, initialise le modem de DSL

Orion54 Junior Member

Orion54

Posté(e)
  • Auteur
Posté(e)
ca correspond a ceci :

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

 

non supprimer dans msconfig

450372[/snapback]

oui, j'ai vu pour O4. mais c'est à dire ? (je sais, je pointille :-( ) pouquoi j'ai ce message maintenant?

 

ensuite tu vas supprimer les fichier sur le disque dur :

C:\WINDOWS\System32\stmctrl.dll

attention, ce n'est pas un procés d'attention, je n'oublie pas que tu as été d'une grande aide :-P:P
Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

oups désolé,

 

il faut le remettre alors,

tu devrais le trouver dans C:\Windows\system32\dllcache\

 

tu fais un copier / coller dans C::\windows\System32\

Orion54 Junior Member

Orion54

Posté(e)
  • Auteur
Posté(e)
oups désolé,

 

il faut le remettre alors,

tu devrais le trouver dans C:\Windows\system32\dllcache\

 

tu fais un copier / coller dans C::\windows\System32\

450381[/snapback]

bon bah le fichier stmctrl.dll n'y est pas. (en fait, j'ai pas de dossier dllcache ds system32 :P )

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...