2 spywares qui reviennent sans cesse...

[BipBip07]

-1-Télécharger l'outil

ABIremover.zip: http://forum.hijackthis.de/attachment.php?attachmentid=118

 

 

-2-Démarrer le logiciel HijackThis et lancer un scan "Do a system scan only".

Puis cocher les lignes suivantes (dans HijackThis):

 

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O4 - HKLM\..\Run: [3s7h34R] vbaace.exe

O4 - HKLM\..\Run: [qkzmji] c:\windows\system32\hfcquq.exe

O4 - HKCU\..\Run: [iBonRQdpW] docutil.exe

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted IP range: 81.222.131.59

O15 - Trusted IP range: 81.222.131.59 (HKLM)

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

 

Fermer toutes les fenêtres Windows, Internet explorer, Outlook,…sauf le logiciel Hijackthis et cliquer sur « Fix checked »

 

-3-Redémarrer en mode sans echec impérativement (appuyer sur F8 ou F5 lors du démarrage)

 

 

-4-Installer ABIRemover.exe ,patienter... pendant l'installation l'explorateur windows se fermera.

 

 

-5-Ensuite aller dans l’ Explorateur Windows et afficher tous les fichiers cachés:

[blue] Dans une fenêtre de l'explorateur Windows, cliquez sur le menu "Outils" et choisissez "Options des dossiers...".

Affichez l'onglet "Affichage" et sélectionnez l'option "Afficher les fichiers et dossiers cachés"

Cliquer sur « Appliquer ». Fermer la fenêtre d'options en cliquant "OK".

En image ici[/blue]

 

et supprimer les fichiers ci dessous si ils sont présent :

 

C:\WINDOWS\Nail.exe

c:\windows\system32\vbaace.exe

c:\windows\system32\hfcquq.exe

c:\windows\system32\docutil.exe

C:\WINDOWS\svcproc.exe

C\temp\ [blue]<-- supprimer tout le contenu du dossier[/blue]

C:\windows\temp\ [blue]<-- supprimer tout le contenu du dossier[/blue]

C:\Documents and settings\Tous les identifiants\application data\Sun\Java\Deployment\cache\javapi1.0\jar\ [blue]<-- supprimer tout le contenu du dossier[/blue]

C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\ [blue]<-- supprimer tout le contenu du dossier[/blue]

C:\Documents and Settings\ Tous les identifiants\Local Settings\Temporary Internet Files\[blue]<-- supprimer tout le contenu du dossier[/blue]

Fichier temporaire internet:

Démarrer/panneau de configuration/options internet

--> button supprimer cookies

--> button supprimer fichier temporaire internet

Fichiers temporaries : Démarrer/exécuter " CleanMgr "

Cocher tout sauf :

Compression des fichiers non utilisés

Fichiers catalogue d’indexation du contenu

/ OK / OUI

 

[blue]Dans l'Explorateur Windows recacher les fichiers systeme afin de ne pas faire d'erreur a l'avenir:

Retournez à la fenêtre <Paramètres de dossier> et sélectionnez <Ne pas afficher les fichiers cachés ou les fichiers système>.[/blue]

 

Redémarrer normalement,

 

-6-nettoyer ta base de registre avec:

EasyCleaner (ne pas utiliser la fonction doublon)

CCleaner

 

-7-Télécharger:

Del_HKCU_Domains.inf

Clic droit-->sélectionner :Installer.

 

 

 

Puis reviens mettre un rapport Hijackthis

Modifié le 14 mai 2005 par BipBip07

[queruak]

Bonjour à tous,

 

Tu as ton PC qui est redirigé sur un site russe :

 

81.222.131.59 et je pense que BipBip va te dire de fixer ces lignes.

 

Pour BipBip, jette un coup d'oeil ici pour nail.exe (un coriace).

 

http://www.commentcamarche.net/forum/affic...l-exe-des-infos

 

Poulidor. Ne rien faire sans qu'on te le conseille, merci.

502828[/snapback]

 

Salut megataupe ,

Coriace,je te le concede volontiers,mais...la solution se trouve ici,sur notre forum.LOL

http://forum.zebulon.fr/index.php?showtopi...ndpost&p=497980

[megataupe]

Salut queruak . C'est Poulidor qui va être content et Google qui va se prendre une claque pour ne pas avoir archivé cette page mais, il est vrai que j'ai fait une recherche rapide .

Modifié le 14 mai 2005 par megataupe

[Poulidor17]

voilà j'ai suivi à la lettre vos instructions, j'éspére avoir moins de bêbetes qu'auparavant.

 

 

Logfile of HijackThis v1.99.1

Scan saved at 20:42:56, on 14/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\CTHELPER.EXE

C:\Program Files\PROGRAMMES\Daemon Tools\daemon.exe

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Executive Software\Diskeeper\DkService.exe

C:\Program Files\PROGRAMMES\msn+\MsgPlus.exe

C:\program files\programmes\pstrip\pstrip.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\ctfmon.exe

c:\windows\system32\fowcipk.exe

C:\Program Files\PROGRAMMES\anti spy microsoft\gcasDtServ.exe

C:\Program Files\PROGRAMMES\anti spy microsoft\gcasServ.exe

C:\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metallica.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metallica.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\PROGRAMMES\GetRight\xx2gr.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\PROGRAMMES\Daemon Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\PROGRAMMES\msn+\MsgPlus.exe"

O4 - HKLM\..\Run: [PowerStrip] c:\program files\programmes\pstrip\pstrip.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\PROGRAMMES\anti spy microsoft\gcasServ.exe"

O4 - HKLM\..\Run: [msnawc] c:\windows\system32\fowcipk.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\PROGRAMMES\nero\Nero BackItUp\NBJ.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Download with GetRight - C:\Program Files\PROGRAMMES\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\PROGRAMMES\GetRight\GRbrowse.htm

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1109898074953

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B0192F78-964C-4DEF-8C78-A42F756F785D}: NameServer = 80.10.246.1 80.10.246.132

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

Modifié le 14 mai 2005 par Poulidor17

[Poulidor17]

je refais un microsoft anti spyware et dés que je l'allume, il me détécte un spy "transponder.AbetterInternet.aurora" et revoila ce satané Nail.exe .

 

Mince je l'ai pu eu pendant 5 min.

 

Les 2 seules choses que j'ai faites : allumer microsoft anti spy et venir sur ce site .

[BipBip07]

Démarrer le logiciel HijackThis et lancer un scan "Do a system scan only".

Puis cocher les lignes suivantes (dans HijackThis):

 

O4 - HKLM\..\Run: [msnawc] c:\windows\system32\fowcipk.exe

 

Fermer toutes les fenêtres Windows, Internet explorer, Outlook,…sauf le logiciel Hijackthis et cliquer sur « Fix checked »

 

Redémarrer en mode sans echec (appuyer sur F8 ou F5 lors du démarrage)

 

Ensuite aller dans l’ Explorateur Windows et afficher tous les fichiers cachés:

[blue] Dans une fenêtre de l'explorateur Windows, cliquez sur le menu "Outils" et choisissez "Options des dossiers...".

Affichez l'onglet "Affichage" et sélectionnez l'option "Afficher les fichiers et dossiers cachés"

Cliquer sur « Appliquer ». Fermer la fenêtre d'options en cliquant "OK".

En image ici[/blue]

 

et supprimer les fichiers ci dessous si ils sont présent :

 

c:\windows\system32\fowcipk.exe

 

[blue]Dans l'Explorateur Windows recacher les fichiers systeme afin de ne pas faire d'erreur a l'avenir:

Retournez à la fenêtre <Paramètres de dossier> et sélectionnez <Ne pas afficher les fichiers cachés ou les fichiers système>.[/blue]

 

Puis reviens mettre un rapport Hijackthis

[Invité tesgaz]

Salut poulidor17,

 

bienvenue sur zeb,

 

te fais pas gratter dans le col par virenque.exe

 

de plus en plus corriace ces malwares

sinon, tu es dans de bonnes mains

[BipBip07]

sinon, tu es dans de bonnes mains

502910[/snapback]

 

Hep Hep Hep, je trouve ce petit mot gentil mais ca fait 2 fois avec queruak qu'on me le dis et je voudrais pas que que l'on crois que je passe les mains a tout le monde

 

Bone soirée a toi tesgaz

 

NB:

te fais pas gratter dans le col par virenque.exe

Modifié le 14 mai 2005 par BipBip07

[Poulidor17]

merci je vais a nouveau essayer.

j'ai trouvé ce forum par hasard et je dois dire qu'en effet je suis étonné de la disponibilité de certains dont bipbip07 et les 2 premiéres personnes qui m'ont répondue. merci a vous. je retourne à cette saloperie de spy. (soirée gâchée à cause de cette chianlie)

[Poulidor17]

bon j'ai refait, avec en + la modification proposée par bipbip

 

 

Logfile of HijackThis v1.99.1

Scan saved at 23:41:21, on 14/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\CTHELPER.EXE

C:\Program Files\PROGRAMMES\Daemon Tools\daemon.exe

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\Program Files\PROGRAMMES\msn+\MsgPlus.exe

C:\Program Files\Executive Software\Diskeeper\DkService.exe

C:\program files\programmes\pstrip\pstrip.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\PROGRAMMES\anti spy microsoft\gcasDtServ.exe

C:\Program Files\PROGRAMMES\anti spy microsoft\GIANTAntiSpywareMain.exe

C:\Program Files\PROGRAMMES\anti spy microsoft\gcasServ.exe

C:\WINDOWS\system32\mmc.exe

C:\Program Files\Executive Software\Diskeeper\DfrgNTFS.exe

C:\Program Files\Executive Software\Diskeeper\DfrgNTFS.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\taskmgr.exe

C:\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metallica.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metallica.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\PROGRAMMES\GetRight\xx2gr.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\PROGRAMMES\Daemon Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\PROGRAMMES\msn+\MsgPlus.exe"

O4 - HKLM\..\Run: [PowerStrip] c:\program files\programmes\pstrip\pstrip.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\PROGRAMMES\anti spy microsoft\gcasServ.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\PROGRAMMES\nero\Nero BackItUp\NBJ.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Download with GetRight - C:\Program Files\PROGRAMMES\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\PROGRAMMES\GetRight\GRbrowse.htm

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1109898074953

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B0192F78-964C-4DEF-8C78-A42F756F785D}: NameServer = 80.10.246.1 80.10.246.132

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

 

 

 

voilà, pour le moment tout semble à nouveau clean.

Si ca vous interresse, je peux vous donner l'adresse du site OU IL NE FAUT PAS ALLER car a peine je suis entré sur le site que ca m'a installé un truc sans que je puisse faire quoique ce soit et ca m'a causé ces ennuis.