Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Spyware loadingwebsite

MSM65

Par MSM65
dans Analyses et éradication malwares

 Partager

Messages recommandés

MSM65 Junior Member

MSM65

Posté(e)
Posté(e)

Bonjour à tous, mon PC est actuellement infecté par un spy nommé "loadingwebsite". J'ai passé, en mode sans échec, Adaware SE (inclus VX2Finder) et Spybot, j'ai fait une analyse avec Norton2004, tous à jour et tout est ok. J'ai fait un scan HJT ci-dessous. J'ai fait des recheches sur la toile, il semble que ce spy soit particulièrement difficile à supprimer. Avant d'arriver à la solution ultime (reformatage) quelqu'un aurait-il une idée?

Merci pour votre aide.

 

Logfile of HijackThis v1.99.1

Scan saved at 08:58:37, on 30/04/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCSETMGR.EXE

C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCEVTMGR.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCAPP.EXE

C:\WINDOWS\RunDLL.exe

C:\PROGRAM FILES\SUPERADBLOCKER.COM\SUPER AD BLOCKER\SADBLOCK.EXE

C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE

C:\PROGRAM FILES\AIDE MéMOIRE\TRAYICON.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\HPFBKG13.EXE

C:\WINDOWS\HPFTBX13.EXE

C:\WINDOWS\SYSTEM\HPFVLS13.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\HIJACK THIS\HIJACKTHIS.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.tiscali.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fr.msn.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F1 - win.ini: run=hpfsched

O2 - BHO: SuperAdBlockerBHO Class - {00000000-6C30-11D8-9363-000AE6309654} - C:\PROGRAM FILES\SUPERADBLOCKER.COM\SUPER AD BLOCKER\SABBHO.DLL

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\PROGRAM FILES\SUPERADBLOCKER.COM\SUPER AD BLOCKER\SABTB.DLL

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE

O4 - HKLM\..\Run: [autoclk] autoclk.exe

O4 - HKLM\..\RunServices: [scriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe"

O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"

O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY

O4 - HKCU\..\Run: [superAdBlocker] C:\PROGRAM FILES\SUPERADBLOCKER.COM\SUPER AD BLOCKER\SADBLOCK.EXE

O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Startup: Aide mémoire.lnk = ?

O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://register.tiscali.fr/configurateur/AccountHelper.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e)

Bonjour MSM65 et bienvenue sur Zébulon sécurité.

 

Télécharge, installe, mets à jour et exécute cet utilitaire:

 

http://www.ewido.net/en/download/

 

A la fin de son analyse, tu colles son rapport ici, ainsi qu'un nouveau log Hijackthis

MSM65 Junior Member

MSM65

Posté(e)
  • Auteur
Posté(e)

Décidément Stonangel je n'ai pas de chance, c'est moi qui vais devenir crampon comme ce spy. Lorsque j'essaie d'installer Silent Runners il se produit une erreur de script (un composant ActiveX ne peut pas créer cet objet????) et là c'est trop fort pour moi.

Je te sollicite encore pour une autre idée ou une solution pour installer Silent Runners.

Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e)

Re, pour activer les contrôles ActiveX, il faut procéder comme suit:

 

Démarrer-->Paramètres-->Panneau de configuration-->Options Internet ou Sur la fenêtre du navigateur Internet,Outils-->Options Internet

 

Dans la fenêtre qui s'ouvre, sélectionnez l'onglet Sécurité. Après cela,

cliquez sur le bouton Personnaliser le niveau...

 

Une nouvelle fenêtre s'ouvre, dans la partie qui se nomme Paramètres de sécurité,

effectuez alors les réglages suivants :

 

A la ligne : Contrôles ActiveX reconnus sûrs pour l'écriture de scripts,

cochez la case Activer.

 

Puis, à la ligne : Contrôles d'initialisation et de scripts ActiveX non

marqués comme sécurisés, cochez la case Désactiver.

 

Maintenant, à la ligne : Exécuter les contrôles ActiveX et les plugins,

cochez la case Activer.

 

Après cela, à la ligne : Télécharger les contrôles ActiveX non signés,

cochez la case Désactiver.

 

Et pour finir, à la ligne : Télécharger les contrôles ActiveX signés,

cochez la case Demander.

 

cliquez sur le bouton OK, afin que les modifications soient

prises en compte.

 

 

-Si après avoir effectuer ces manipulations, tu as toujours le même message d'erreur, tu dois:

--Supprimer tous les fichiers de Temporary Internet Files via

Options Internet/onglet Général/zone "Fichiers Internet Temporaires/bouton supprimer les fichiers.

Cocher la case:supprimer tout le contenu hors connexion.

 

--Voir, si tu un dossier du nom de c:\windows\avxoscan, supprime tout son contenu.

 

Auteur: Queruak

MSM65 Junior Member

MSM65

Posté(e)
  • Auteur
Posté(e)

Bonsoir Stoneangel et Queruak, finalement j'ai reformaté mon PC, à force de bidouiller sans attendre vos conseils avisés, les problèmes s'accumulaient. Encore merci pour votre aide. Maintenant c'est moi qui ai du boulot pour remettre tout en place, tant pis pour moi. Bonne soirée

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...