infeste de spywares et autres

[galak]

Bonjour a tous,

bon je vous explique le pb vite fait. J'ai deja fait le tour de ce forum et de pas mal d'autres mais mon pb a l'air d'etre plus important (en nombre )

En gros je pense que j'ai du cliquer sur yes ou je ne sais pas quoi pendant que je navigais sur un site de fesses et d'un seul coup pleins d'icones sont apparus sur mon bureau: protect your data, evidence eraser, virus hunter security, spyware avenger, your platinum visa...

Je me suis aussi retrouve avec une page de IE "comedy central" qui s'ouvre automatiquement au demarrage de windows avec un icone dans la barre des taches qui des fois se change en smiley. Sinon j'ai aussi des popups "only the best" et ma page d'accueil qui est devenue "about:blank". J'ai aussi des fenetres virus report qui s'ouvrent, des "you must click yes to continue" alors que je ne fais rien, le fameux fond d'ecran "warning you're in danger" encore plein plein d'autres choses .

 

J'ai essaye bcp de choses differentes: adaware, spybot (qui a deconne a la fin).... mais ils reapparaissent toujours. Le plus efficace que j'ai trouve c'est spysweep qui m'a permi de m'en debarasser pendant quelques minutes. Mais des qu'il se desactive tout reapparrrait... comme par magie

 

Bon j'ai vu qu apparemment il fallait utiliser hijack this donc je vous post le log parce que c'est ce que tout le monde fait

 

Logfile of HijackThis v1.99.0

Scan saved at 11:29:00 AM, on 2/16/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\ibmpmsvc.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\ecpefzes6.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\soft.exe

C:\WINNT\system32\tp4mon.exe

C:\WINNT\System32\ibmpmsvc.exe

C:\WINNT\system32\ltmsg.exe

C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe

C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPMon32.exe

C:\WINNT\system32\RUNDLL32.exe

C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe

C:\WINNT\winuk.exe

C:\WINNT\System32\rsvp.exe

C:\Program Files\NetAssistant\bin\mpbtn.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINNT\system32\atlgf.exe

C:\Program Files\ISTsvc\istsvc.exe

C:\WINNT\aiacbde.exe

C:\Program Files\Internet Optimizer\optimize.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\180Solutions\sais.exe

C:\WINNT\ptcore.exe

C:\WINNT\system32\Mtpjhp.exe

C:\Program Files\Web_Rebates\WebRebates1.exe

C:\Program Files\Web_Rebates\WebRebates0.exe

c:\winnt\system32\uimxmbu.exe

c:\winnt\system32\packager.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrator\Desktop\New Folder\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\vuewy.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\vuewy.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\vuewy.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\vuewy.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\vuewy.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\vuewy.dll/sp.html#12345

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\vuewy.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Sympatico Internet Service

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>

R3 - Default URLSearchHook is missing

F3 - REG:win.ini: run=C:\WINNT\system32\soft.exe

O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINNT\isrvs\sysupd.dll (file missing)

O2 - BHO: (no name) - {6A24BB55-28DF-AC94-46B5-54FCCF14F6E1} - (no file)

O2 - BHO: (no name) - {B5AE643E-99E3-0314-D6A4-8C5C1CBB4CDD} - C:\WINNT\netcb32.dll

O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [iBMPMSVC] %SystemRoot%\System32\ibmpmsvc.exe -helper

O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9

O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NETASS~1\SMARTB~1\MotiveSB.exe

O4 - HKLM\..\Run: [iPInSightLAN 01] "C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe" -l

O4 - HKLM\..\Run: [iPInSightMonitor 01] "C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPMon32.exe"

O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain

O4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe

O4 - HKLM\..\Run: [atlgf.exe] C:\WINNT\system32\atlgf.exe

O4 - HKLM\..\Run: [Web Service] C:\WINNT\system32\web.exe

O4 - HKLM\..\Run: [Desktop Search] C:\WINNT\isrvs\desktop.exe

O4 - HKLM\..\Run: [ffis] C:\WINNT\isrvs\ffisearch.exe

O4 - HKLM\..\Run: [security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe

O4 - HKLM\..\Run: [iST Service] C:\Program Files\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe

O4 - HKLM\..\Run: [systems Restart] Rundll32.exe boln.dll, DllRegisterServer

O4 - HKLM\..\Run: [version] C:\WINNT\system32\Vvswak.exe

O4 - HKLM\..\Run: [secure] C:\WINNT\system32\Mtpjhp.exe

O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"

O4 - HKLM\..\Run: [uimxmbu] c:\winnt\system32\uimxmbu.exe

O4 - HKLM\..\Run: [Pk0TwHe8] C:\WINNT\aiacbde.exe

O4 - HKLM\..\Run: [farmmext] C:\WINNT\farmmext.exe

O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\djtopr1150.exe"

O4 - HKCU\..\Run: [Web Service] C:\WINNT\system32\web.exe

O4 - HKCU\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - Global Startup: NetAssistant.lnk = C:\Program Files\NetAssistant\bin\matcli.exe

O8 - Extra context menu item: &AIM Search - res://C:\Program Files\AIM Toolbar\AIMBar.dll/aimsearch.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe

O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Program Files\AWS\WeatherBug\Weather.exe (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.sympatico.ca

O15 - Trusted Zone: *.addictivetechnologies.com

O15 - Trusted Zone: *.addictivetechnologies.net

O15 - Trusted Zone: *.admin2cash.biz

O15 - Trusted Zone: *.awmdabest.com

O15 - Trusted Zone: *.bettersearch.biz

O15 - Trusted Zone: *.c4tdownload.com

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.f1organizer.com

O15 - Trusted Zone: *.finefind.nettraffic2cash.biz

O15 - Trusted Zone: *.iframe.biz

O15 - Trusted Zone: *.megapornix.com

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.newiframe.biz

O15 - Trusted Zone: *.overpro.com

O15 - Trusted Zone: *.pizdato.biz

O15 - Trusted Zone: *.private-dialer.biz

O15 - Trusted Zone: *.private-iframe.biz

O15 - Trusted Zone: *.slotch.com

O15 - Trusted Zone: *.sp2admin.biz

O15 - Trusted Zone: *.sp2fucked.biz

O15 - Trusted Zone: *.vse-moe.biz

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.xxxtoolbar.com

O15 - Trusted Zone: *.ysbweb.com

O15 - Trusted Zone: *.awmdabest.com (HKLM)

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://static.topconverting.com/activex/loader2.ocx

O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)

O23 - Service: yogtnxsxcmdg - Unknown - C:\WINNT\system32\ecpefzes6.exe

O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: IBM PM Service - IBM Corp. - C:\WINNT\System32\ibmpmsvc.exe

O23 - Service: SBHookSvc - Motive Communications, Inc. - C:\PROGRA~1\NETASS~1\SMARTB~1\SBHookSvc.exe

O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINNT\winuk.exe

 

 

 

Dites moi ce que je dois faire s'il vous plait. Merci pour votre patience

[L@urendo]

Salut,

Commence par installer Antivir, mets le à jour et configure le correctement à l'aide de ce lien http://assiste.free.fr/p/internet_utilitaires/antivir.php

Redémarre en mode sans échec ( F8 au démarrage ), et fais uns scan de ton ordi avec antivir et supprime tous ce qu'il te dit.

 

Supprime ensuites ces fichiers :

C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe
C:\WINNT\winuk.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINNT\system32\atlgf.exe
C:\Program Files\180Solutions\sais.exe
C:\Program Files\Web_Rebates\WebRebates1.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
c:\winnt\system32\uimxmbu.exe
c:\winnt\system32\packager.exe
C:\WINNT\system32\Mtpjhp.exe
C:\WINNT\ptcore.exe

 

Puis à l'aide de hijackthis, tu répares ( Fix ) :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\vuewy.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\vuewy.dll/sp.html#12345    
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank	
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\vuewy.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\vuewy.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\vuewy.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\vuewy.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\vuewy.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Sympatico Internet Service
R3 - Default URLSearchHook is missing
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINNT\isrvs\sysupd.dll (file missing)
O2 - BHO: (no name) - {6A24BB55-28DF-AC94-46B5-54FCCF14F6E1} - (no file)
O4 - HKLM\..\Run: [IPInSightLAN 01] "C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe" -l      	Méchant
O4 - HKLM\..\Run: [atlgf.exe] C:\WINNT\system32\atlgf.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINNT\isrvs\desktop.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\djtopr1150.exe"
O8 - Extra context menu item: &AIM Search - res://C:\Program Files\AIM Toolbar\AIMBar.dll/aimsearch.htm
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Program Files\AWS\WeatherBug\Weather.exe (file missing) (HKCU)
Toutes les lignes 015
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab      	Méchant
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab    	Méchant
016 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://static.topconverting.com/activex/loader2.ocx    	Méchant
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O23 - Service: yogtnxsxcmdg - Unknown - C:\WINNT\system32\ecpefzes6.exe
023 - Service: SBHookSvc - Motive Communications, Inc. - C:\PROGRA~1\NETASS~1\SMARTB~1\SBHookSvc.exe      	Inconnu
023 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINNT\winuk.exe

 

Une fois tout cela fait, tu reboot et tu refais un log de hijackthis.

Attend l'avis d'autres membres, je suis faillible.

Modifié le 16 février 2005 par L@urendo

[Phengizy]

salut galak,

D'abord va sur: http://hijackthis.de/index.php?langselect=french

Evalue et lis bien tout en bas de l'évaluation

Bon courage

@ +

[gringojack]

salut galak

 

le cul ca n a pas que du bon!

 

il m est deja arrive quelque chose de similaire

sauvegarde

repere tous les noms que tu peux voir

recherches des fichiers a ces noms

tu peux aussi aller, dans le registre:

 

HKEY_LOCAL_MACHINE /SOFTWARE/Microsoft/Windows/CurrentVersion/Uninstall

 

et verifies si il y a des noms que tu as glane auparavant

Toutes ces cles que tu pourrais trouver, ainsi que celles de programmes que tu es sur de plus avoir,dans le pane de gauche, tu peux les enlever

 

Si ils t ont mis une icone sur le bureau, fais un clic droit >> proprietes. Ainsi tu peux voir ce que commande l icone, et remonter a la source

 

bon courage et PRUDENCE!!

[bronson]

tu peux essayer l'antispyware de Microsoft en version beta. je l'ai DL et installé. il m'a sortii un belle liste de mer...qu'il a supprimé après coup...

c'est là http://www.microsoft.com/downloads/details...en&Hash=JMBRPKC

[galak]

okeiche merci

je vais essayer un peu de tout ca et je vous tiens au courant