scan à controler

[stephdequerq]

Salut à tous.

 

Depuis quelques temps j'ai une fenêtre I.E sous le nom"EM GAD NETWORK.COM" qui s'affiche.

Celle-ci est bloquée par spy sweeper. Je n'arrive pas a la supprimer definitivement.

C'est tres enervant!!!!!

 

voici mon log.

Merci à tous et bonne fête

 

Logfile of HijackThis v1.99.1

Scan saved at 11:04:53, on 23/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\vsnpstd2.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

G:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

c:\progra~1\softwin\bitdef~1\bdmcon.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [bDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe

O4 - HKLM\..\Run: [sNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\Run: [incrediMail] "G:\Program Files\IncrediMail\bin\IncMail.exe" /c

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

[bruce lee]

bonjour stephdequerq et bienvenue sur zebulon

 

a titre vérificatif:

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "rename ou cleaning" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

[stephdequerq]

salut bruce lee

merci de m'avoir repondu si vite.

 

voici le rapport de blacklight:

 

12/23/06 13:53:26 [info]: BlackLight Engine 1.0.47 initialized

12/23/06 13:53:26 [info]: OS: 5.1 build 2600 (Service Pack 2)

12/23/06 13:53:26 [Note]: 7019 4

12/23/06 13:53:26 [Note]: 7005 0

12/23/06 13:53:40 [Note]: 7006 0

12/23/06 13:53:40 [Note]: 7011 1148

12/23/06 13:53:40 [Note]: 7026 0

12/23/06 13:53:41 [Note]: 7026 0

12/23/06 13:53:41 [Note]: 7024 3

12/23/06 13:53:41 [info]: Hidden process: C:\windows\system32\ihwfzjvb.exe

12/23/06 13:53:41 [Note]: FSRAW library version 1.7.1020

12/23/06 13:54:18 [info]: Hidden file: c:\WINDOWS\Prefetch\IHWFZJVB.EXE-14FD6B66.pf

12/23/06 13:54:18 [Note]: 10002 1

12/23/06 13:54:26 [info]: Hidden file: c:\WINDOWS\system32\ihwfzjvb.dat

12/23/06 13:54:26 [Note]: 10002 1

12/23/06 13:54:26 [info]: Hidden file: C:\windows\system32\ihwfzjvb.exe

12/23/06 13:54:26 [Note]: 10002 1

12/23/06 13:54:26 [info]: Hidden file: c:\WINDOWS\system32\ihwfzjvb_nav.dat

12/23/06 13:54:26 [Note]: 10002 1

12/23/06 13:54:26 [info]: Hidden file: c:\WINDOWS\system32\ihwfzjvb_navps.dat

12/23/06 13:54:26 [Note]: 10002 1

12/23/06 13:55:23 [Note]: 7007 0

[bruce lee]

re,

 

Si durant la procedure ci-dessous, il y a des etapes que tu n'as pas reussi a faire, merci de

continuer la procedure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

2/Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

3/ouvre le bloc note(demarrer\tous les programmes\accessoires\bloc notes)

 

 

copie ceci (sans le mot citation):

 

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ihwfzjvb

RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ihwfzjvb

RegDelValue HKCU\Software\Microsoft\Windows\CurrentVersion\Run|ihwfzjvb

FileDelete %SYSDIR%\ihwfzjvb_navup.dat

FileDelete %SYSDIR%\ihwfzjvb_navps.dat

FileDelete %SYSDIR%\ihwfzjvb_nav.dat

FileDelete %SYSDIR%\ihwfzjvb.dat

FileDelete %SYSDIR%\ihwfzjvb.exe

FileDelete %WINDIR%\PREFETCH\ihwfzjvb*.pf

 

-Enregistrez dans: C:\BFU

-Nom du fichier : aftermath.bfu (attention! l'extension doit bien etre .bfu et pas autre chose)

-Type du fichier : tous les fichiers

-cliquez sur Enregistrer

-quittez le Bloc Notes

 

 

4/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

 

5/Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

Sous Scriptline to execute copie/colle cette ligne :

 

c:\bfu\aftermath.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

 

 

 

6/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Re-clique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier est infecté détécté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

7/redemarre en mode normal

 

 

8/poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log hijackthis et enfin un nouveau rapport de blacklight

 

bon courage, et si tu as la moindre question n'hesite surtout pas

 

@+

[stephdequerq]

re.

 

voila j'affiche tous les que tu m'as demandé

 

 

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 19:42:21 23/12/2006

 

+ Résultat de l'analyse:

 

 

 

C:\System Volume Information\_restore{FE34A6B4-E532-478C-8D73-E9E69696A2D9}\RP21\A0014812.exe -> Adware.Gator : Nettoyé.

C:\Documents and Settings\steph&chrystelle\Mes documents\Mes fichiers reçus\Webroot Spy Sweeper version.5.2 Crack and Serial.exe -> Downloader.Agent.aii : Nettoyé.

G:\System Volume Information\_restore{FE34A6B4-E532-478C-8D73-E9E69696A2D9}\RP21\A0014922.exe -> Downloader.Agent.aii : Nettoyé.

C:\Documents and Settings\steph&chrystelle\Cookies\steph&chrystelle@adtech[1].txt -> TrackingCookie.Adtech : Nettoyé.

C:\Documents and Settings\steph&chrystelle\Cookies\steph&chrystelle@estat[1].txt -> TrackingCookie.Estat : Nettoyé.

C:\Documents and Settings\steph&chrystelle\Cookies\steph&chrystelle@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.

C:\Documents and Settings\Administrateur\Cookies\[email protected][1].txt -> TrackingCookie.Smartadserver : Nettoyé.

C:\Documents and Settings\steph&chrystelle\Cookies\steph&chrystelle@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Nettoyé.

C:\Documents and Settings\steph&chrystelle\Cookies\steph&chrystelle@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.

 

 

Fin du rapport

 

Logfile of HijackThis v1.99.1

Scan saved at 19:47:10, on 23/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

C:\WINDOWS\vsnpstd2.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

G:\Program Files\AVG Anti-Spyware 7.5\avgas.exe

G:\PROGRA~1\INCRED~1\bin\IMApp.exe

G:\Program Files\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [bDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe

O4 - HKLM\..\Run: [sNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "G:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [incrediMail] "G:\Program Files\IncrediMail\bin\IncMail.exe" /c

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - G:\Program Files\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

 

12/23/06 19:53:09 [info]: BlackLight Engine 1.0.47 initialized

12/23/06 19:53:09 [info]: OS: 5.1 build 2600 (Service Pack 2)

12/23/06 19:53:09 [Note]: 7019 4

12/23/06 19:53:09 [Note]: 7005 0

12/23/06 19:53:14 [Note]: 7006 0

12/23/06 19:53:14 [Note]: 7011 1488

12/23/06 19:53:15 [Note]: 7026 0

12/23/06 19:53:15 [Note]: 7026 0

12/23/06 19:53:15 [Note]: 7024 3

12/23/06 19:53:15 [info]: Hidden process: C:\windows\system32\ihwfzjvb.exe

12/23/06 19:53:15 [Note]: FSRAW library version 1.7.1020

12/23/06 19:53:59 [info]: Hidden file: c:\WINDOWS\Prefetch\IHWFZJVB.EXE-14FD6B66.pf

12/23/06 19:53:59 [Note]: 10002 1

12/23/06 19:54:07 [info]: Hidden file: c:\WINDOWS\system32\ihwfzjvb.dat

12/23/06 19:54:07 [Note]: 10002 1

12/23/06 19:54:07 [info]: Hidden file: C:\windows\system32\ihwfzjvb.exe

12/23/06 19:54:07 [Note]: 10002 1

12/23/06 19:54:07 [info]: Hidden file: c:\WINDOWS\system32\ihwfzjvb_nav.dat

12/23/06 19:54:07 [Note]: 10002 1

12/23/06 19:54:07 [info]: Hidden file: c:\WINDOWS\system32\ihwfzjvb_navps.dat

12/23/06 19:54:07 [Note]: 10002 1

12/23/06 19:55:47 [Note]: 7007 0

 

 

 

voici les 3 rapports

 

merci pour tout

[bruce lee]

re,

 

supprime ce qui est en gras:

 

C:\windows\system32\ ihwfzjvb.exe<== le fichier

c:\WINDOWS\Prefetch\ IHWFZJVB.EXE-14FD6B66.pf<== le fichier qui commence par ihwfzjvb

c:\WINDOWS\system32\ ihwfzjvb.dat<== le fichier

c:\WINDOWS\system32\ ihwfzjvb_nav.dat<== le fichier

c:\WINDOWS\system32\ ihwfzjvb_navps.dat<== le fichier

 

Si tu as réussi poste moi un nouveau rapport hijackthis.

 

@+

[stephdequerq]

re,

 

j'ai un souci pour trouver ces fichiers

 

peux-tu m'expliquer comment faire

[bruce lee]

re,

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

fais ensuite:

 

demarrer/poste de travail/ disque local (c:)/windows/ system32

 

ouvre le system32 puis supprime ces fichiers:

 

ihwfzjvb.exe

IHWFZJVB.EXE-14FD6B66.pf

ihwfzjvb.dat

ihwfzjvb_nav.dat

ihwfzjvb_navps.dat

 

@+

Modifié le 23 décembre 2006 par bruce lee

[stephdequerq]

re,

 

j'ai suivi tes instructions mais je ne trouve aucun fichiers dans system32 ni dans Prefetch

 

je suis bloque.

[bruce lee]

re,

 

supprime afthermath.bfu qui se trouve dans le dossier C:\BFU

 

On va refaire un autre script

 

ouvre le bloc note(demarrer\tous les programmes\accessoires\bloc notes)

 

 

copie ceci (sans le mot citation):

 

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ihwfzjvb

RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ihwfzjvb

RegDelValue HKCU\Software\Microsoft\Windows\CurrentVersion\Run|ihwfzjvb

FileDelete %SYSDIR%\ihwfzjvb_navps.dat

FileDelete %SYSDIR%\ihwfzjvb_nav.dat

FileDelete %SYSDIR%\ihwfzjvbdat

FileDelete %SYSDIR%\ihwfzjvb.exe

FileDelete %WINDIR%\PREFETCH\ihwfzjvb.exe*.pf

FileDelete %SYSDIR%\yotnkqacgh_navup.dat

 

-Enregistrez dans: C:\BFU

-Nom du fichier : aftermath.bfu (attention! l'extension doit bien etre .bfu et pas autre chose)

-Type du fichier : tous les fichiers

-cliquez sur Enregistrer

-quittez le Bloc Notes

 

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

Sous Scriptline to execute copie/colle cette ligne :

 

c:\bfu\aftermath.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

 

redemare le PC et post un nouveau log hijackthis ainsi qu'un nouveau rapport blacklight.

 

@+