je n'arrive pas à m'en débarrasser :(

LittlePooh · le 1 septembre 2005

ok, merci pour tout

Pour le probleme de NotePad alors, c'est un virus ou pas ?

Au fait, tous ces petits espions qui s'étaient installé avec PSGuard, ils étaient sensés faire quoi ? Détruire des données, voler des mots de passe, ou seulement changer ma page de démarrage ?

Modifié le 1 septembre 2005 par LittlePooh

BipBip07 · le 1 septembre 2005

Voila queque infos diverses:

[...]Logiciel qui transmet des informations généralement à des annonceurs publicitaires sur l'utilisateur ou sur ses habitudes sans son autorisation. [...]

[...]Pour collecter certaines données, les spywares peuvent également être amenés à modifier des fichiers vitaux gérant par exemple les accès à internet, ce qui peut conduire à des dysfonctionnements importants en cas d'échec de l'installation ou de la désinstallation du spyware. Certaines fonctionnalités annexes comme la mise à jour automatique peuvent aussi représenter un danger pour la sécurité de l'utilisateur, en permettant le téléchargement et l'installation à son insu d'un autre programme ou d'un autre spyware, voire d'un programme hostile dans le cas du détournement du système par une personne malveillante.

[...]

a lire:

http://www.secuser.com/dossiers/spywares_generalites.htm

LittlePooh · le 1 septembre 2005

J'ai re-eu le petit probleme. J'ai eu la bétise de retourner gambader sur le net avant d'avoir installé tout ce qu'on m'a conseillé ici.

J'ai refait tout comme ce matin et je pense que je l'ai corrigé, mais je donne mon log de HijackThis au cas où.

Seach and Destroy m'a trouvé pas mal de saletés, et les as supprimé. Il m'a installé un petit résident génial qui me prévient quand on essai de modifier une valeur du registre ou du démarrage, je l'adore.

Logfile of HijackThis v1.99.1

Scan saved at 01:03:09, on 02/09/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCSETMGR.EXE

C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCEVTMGR.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCAPP.EXE

C:\PROGRAM FILES\RAMBOOST\RAMBOOST.EXE

C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAM FILES\ANTIPUB\ANTIPUB.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

H:\_ à TRIER 2\_ TRUCS CONTRE LES VIRUS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/advanced_search?hl=fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAM FILES\EBLOCS\SPYBLOCS\{3B1BCF60-1556-11DA-954C-444553540000}\QUARANTINE\DATA\FGIEBAR.DLL (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE /Consumer

O4 - HKLM\..\Run: [Ramboost] C:\PROGRAM FILES\RAMBOOST\RAMBOOST.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [scriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe"

O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe

O8 - Extra context menu item: Download using FlashGet - C:\PROGRAM FILES\FLASHGET\jc_link.htm

O8 - Extra context menu item: Download All by FlashGet - C:\PROGRAM FILES\FLASHGET\jc_all.htm

Maintenant je sais où j'avais attrapé cette saleté. Il m'arrive parfois de tomber lors d'une recherche sur un site porno (alors que pourtant ma recherche n'a rien à voir, et la description du site dans google non plus), qui en ouvre un autre, qui en ouvre un autre, qui en ouvre un autre.... même mon antipub n'en vient pas à bout. J'ai eu le coup y'a quelques temps, avant que mon system commence à faire des trucs bizarres. Norton m'avait prévenu qu'il avait arreté des virus, mais apparement d'autres avait réussi à s'infiltrer. Tout à l'heure, j'ai fait une recherche sur la meme chose, et je suis encore tombé sur un site porno. Norton m'a encore prévenu et tout et tout, et deux minutes plus tard..... paye tes spywares dans tous les coins !

Donc voilà. Je vais maintenant etre très prudent à propos des liens sur lesquels je clique.

Modifié le 1 septembre 2005 par LittlePooh

ipl_001 · le 1 septembre 2005

Bonsoir LittlePooh, bonsoir à tous,

Tout d'abord, mes félicitations à Pollux_63 qui a fait du bon boulot !

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

Sache que Windows 98 est particulièrement vulnérable puisqu'il n'est plus entretenu par Microsoft ! Il te faut être doublement prudent !

Il y a tout ce qu'il faut en logiciels gratuits pour se protéger ! Certains logiciels ne servent pas à grand chose et sont, à mes yeux, néfastes : un anti pub n esert qu'à masquer un problème d'infection... et si on attend trop, c'est plus grave !

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

ipl_001 · le 1 septembre 2005

Rebonsoir LittlePooh, rebonsoir à tous,

Je ne trouve vraiment pas ton pseudo du meilleur goût !

-1- Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

-2- Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

-3- Redémarre l'ordinateur en mode sans échec.

-4- Désactive TeaTimer le temps du nettoyage, tu le réactiveras lorsque tout sera propre !

Pour ce qui est lu nettoyage de ton système, fais nous un peu confiance !

-5- Désinstalle cette application (si tu trouves) dans Ajout-Suppression de programmes :

--- FlashGet (c'est un pourvoyeur de malwares et il ne sert pas à grand chose pour les téléchargements)

Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué.

-6- Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAM FILES\EBLOCS\SPYBLOCS\{3B1BCF60-1556-11DA-954C-444553540000}\QUARANTINE\DATA\FGIEBAR.DLL (file missing)

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

Il serait bon de désactiver TeaTimer le temps d'effectuer le nettoyage de ton système ; tu réactiveras après !

O8 - Extra context menu item: Download using FlashGet - C:\PROGRAM FILES\FLASHGET\jc_link.htm

O8 - Extra context menu item: Download All by FlashGet - C:\PROGRAM FILES\FLASHGET\jc_all.htm

-7- Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

-8- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

--- C:\PROGRAM FILES\FLASHGET (supprime le dossier)

--- C:\PROGRAM FILES\EBLOCS (supprime le dossier)

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

-9- Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

-10- Qu'en est-il de dysfonctionnements éventuels ?

Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

LittlePooh · le 2 septembre 2005

Pooh est en référence à "Winnie the Pooh", au moment où je l'ai créé je n'ai pas fait attention que ça pouvait signifier "petite crotte"... Heu je peux le changer si tu veux, et si c'est possible.

Voici mon log :