spysecure

[jack17]

Qui peut aider un nul de l'informatique à se débarasser de spysecure?

[styx]

Bonsoir/bonjour jack17

 

Sur ton bureau, télécharge GenProc (de narco4 & jean-chretien1) …

http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

 

Dézippe le dossier ; double-clique sur GenProc.bat … et poste le contenu

du rapport qui s'ouvre (que tu découvres une procédure ou pas !).

 

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

[jack17]

j'ai prévenu:suis pas doué: voilà le rapport GenProc

 

Rapport GenProc 0.71 [2] effectué le 02/09/2007 à 17:09:49,68 - SystemRoot = C:\WINDOWS

 

# Etape 1/ Télécharge :

 

- Navipromo.zip http://www.alt-shift-return.org/Info/Fichi...avipromo073.zip et décompresse-le sur ton bureau

 

- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)

* Fais un clic droit de souris sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu

et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU).

 

 

***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.microsoft.com/technet/prodtechn...c.mspx?mfr=true (choisis ta session courante "Renée") *****

 

 

# Etape 2/

 

* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.

 

* Sélectionne l'option "Recherche et suppression automatique" en appuyant sur la touche R et en validant par entrée. Patiente.

S'il trouve l'adware Navipromo, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

 

* Relance l'outil, Sélectionne l'option "Suppression Heuristique" en appuyant sur la touche H et en validant par entrée ; patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

 

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.

Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

Clique sur "Execute" et laisse-le faire son travail.

Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.

Recommence encore une fois.

 

* Démarrer -> panneau de configuration -> options internet

Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

 

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

 

=> Supprime-les tous

 

# Etape 3/

 

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

 

# Etape 4/

 

Redémarre normalement et poste :

- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/th.../HiJackThis.exe ;

- Le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail C:\ ;

 

 

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

 

peux tu m'expliquer comment écrire un fichier texte et comment redémarrer en mode sans échec!!!!!

merci.

[jack17]

je pense avoir réussi à faire ce qui etait demandé, voici les derniers rapports:

 

Rapport Navipromo.bat 0.73 effectué le 02/09/2007 à 18:11:52,25

C:\Documents and Settings\Ren‚e

L'opération se déroule en mode sans échec sous le compte "Ren‚e"

 

** Recherche...

 

1/ rawvxiwdd trouvé, recherche de rawvxiwdd*

C:\WINDOWS\system32\rawvxiwdd.dat

C:\WINDOWS\system32\rawvxiwdd.exe

C:\WINDOWS\system32\rawvxiwdd_nav.dat

C:\WINDOWS\system32\rawvxiwdd_navps.dat

C:\WINDOWS\prefetch\RAWVXIWDD.EXE-07D67156.pf

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

rawvxiwdd REG_SZ c:\windows\system32\rawvxiwdd.exe rawvxiwdd

 

------------------

2/Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:33:00, on 02/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Renée\Bureau\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redi...&key=SEARCH

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/redirect/startpage/adsl/fra

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0CE9BCA0-1812-4F9F-9AE5-67185F861AA0}: NameServer = 212.151.136.242,130.244.127.162

O17 - HKLM\System\CS1\Services\Tcpip\..\{0CE9BCA0-1812-4F9F-9AE5-67185F861AA0}: NameServer = 212.151.136.242,130.244.127.162

O17 - HKLM\System\CS2\Services\Tcpip\..\{0CE9BCA0-1812-4F9F-9AE5-67185F861AA0}: NameServer = 212.151.136.242,130.244.127.162

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

 

--

End of file - 4671 bytes

oyxwysug trouvé, recherche de oyxwysug*

C:\WINDOWS\system32\oyxwysug.dat

C:\WINDOWS\system32\oyxwysug.exe

C:\WINDOWS\system32\oyxwysug_nav.dat

C:\WINDOWS\system32\oyxwysug_navps.dat

 

 

------------------

Fin du rapport de recherche

Adware Navipromo trouvé 2 fois avec cette méthode

 

################################################

 

** Nettoyage...

 

1/ Déplacement de rawvxiwdd* vers C:\Navipromo\Backups...

C:\WINDOWS\System32\rawvxiwdd* déplacé avec succès !

C:\WINDOWS\prefetch\rawvxiwdd* déplacé avec succès

 

------------------

2/ Déplacement de oyxwysug* vers C:\Navipromo\Backups...

C:\WINDOWS\System32\oyxwysug* déplacé avec succès !

 

------------------

* Suppression clés et valeurs de registre

1 entrées de registre netttoyées

 

 

* Backups :

 

C:\Navipromo\Backups\ARPCache.reg

C:\Navipromo\Backups\HKCURun.reg

C:\Navipromo\Backups\HKLMRun.reg

C:\Navipromo\Backups\oyxwysug.dat

C:\Navipromo\Backups\oyxwysug.exe

C:\Navipromo\Backups\oyxwysug_nav.dat

C:\Navipromo\Backups\oyxwysug_navps.dat

C:\Navipromo\Backups\pack.epk

C:\Navipromo\Backups\rawvxiwdd.dat

C:\Navipromo\Backups\rawvxiwdd.exe

C:\Navipromo\Backups\RAWVXIWDD.EXE-07D67156.pf

C:\Navipromo\Backups\rawvxiwdd_nav.dat

C:\Navipromo\Backups\rawvxiwdd_navps.dat

C:\Navipromo\Backups\Uninstall.reg

 

Ajout d'extension .off aux backups

 

## Fin du rapport de Suppression

 

-------------

 

Rapport Navipromo.bat 0.73 effectué le 02/09/2007 à 18:12:35,25

L'opération se déroule en mode sans échec sous le compte "Ren‚e"

 

## Suppression Heuristique

 

* Backups :

 

 

Aucun résultat par la recherche heuristique

 

 

## Fin du rapport Heuristique

 

rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:33:00, on 02/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Renée\Bureau\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redi...&key=SEARCH

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/redirect/startpage/adsl/fra

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0CE9BCA0-1812-4F9F-9AE5-67185F861AA0}: NameServer = 212.151.136.242,130.244.127.162

O17 - HKLM\System\CS1\Services\Tcpip\..\{0CE9BCA0-1812-4F9F-9AE5-67185F861AA0}: NameServer = 212.151.136.242,130.244.127.162

O17 - HKLM\System\CS2\Services\Tcpip\..\{0CE9BCA0-1812-4F9F-9AE5-67185F861AA0}: NameServer = 212.151.136.242,130.244.127.162

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

 

--

End of file - 4671 bytes

 

 

Voilà, pour moi c'est un peu confus..........pour ne pas dire plus!!

J'espère qu'avec tout çà le vilain Spyware secure est parti.

 

J'ai un autre problème mais avec ma voiture!!! il y a t-il un expert dans cet avion!!

 

merci pour tout en attendant le verdict final.

[styx]

Bonsoir/bonjour jack17

 

Apparemment, le rapport HJT ne révèle rien d' anormal.

Tu as toujours le "vilain spyware" ?

 

1. Fais ce scan en ligne : http://www.bitdefender.fr/bd/site/page.php?tab=0#

Clique, en bas à gauche, sur "Scan on line (nouveau)".

Puis, accepte la licence et laisse-le installer l'ActiveX.

Laisse-toi guider.

 

2. Toutes applications fermées, télécharge, ToolsCleaner! sur ton bureau.

 

[*] Double clique sur ToolsCleaner.exe > clique sur Extract sans changer

la destination initiale.

[*] Ouvre le Poste de Travail > ouvre le lecteur C:\

[*] Ouvre le dossier ToolsCleaner.

[*] Double-clique sur ToolsCleaner2.bat et suis les directives.

[*] Fais un copier/coller du rapport : il se trouve dans C:\TCleaner.txt

 

[*] Note : ton bureau va disparaitre ; c'est normal.

Si il n'apparait pas a la fin du scan, fais la manip suivante:

 

CTRL+ALT+SUPP pour ouvrir le Gestionnaire de Tâches.

Puis rends-toi à l'onglet "Processus".

Cliques en haut à gauche sur fichiers et choisis "Exécuter"

 

Tapes explorer.exe et valide. Cela fera réapparaitre le bureau.