Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Spyware impossible à éradiquer....


Bacillus

Messages recommandés

Salut,

 

le résumé commence sur un autre forum :

 

http://forum.hardware.fr/forum2.php?config...=0&new=0&nojs=0

 

 

 

Mais désespéré, je m'enquiers des connaisances et compétences de tous les endroits.... Insupportable cette redirection

 

Merci de votre aide

 

Michael

 

PS : je n'arrive pas là, en n'ayant rien fait, ni rien lu....

 

 

 

Mon dernier log de hijack :

 

Logfile of HijackThis v1.99.1

Scan saved at 16:12:42, on 26/10/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\hidserv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\rundll32.exe

C:\WINNT\SOUNDMAN.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe

C:\Program Files\Soft4Ever\looknstop\looknstop.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [siS KHooker] C:\WINNT\system32\khooker.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0

O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (file missing)

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINNT\system32\ZONELABS\vsmon.exe (file missing)

Lien vers le commentaire
Partager sur d’autres sites

Salut,

 

Cela semble etre une infection par Look2Me,

 

Je regarde ton rapport, réponse dans un moment!

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites

J'ai essayé donc : Xoft spy, counterspy, ms spyware, adware, spy remover, spyblaster, spybot and destroy, et je sais plus quoi d'autres encore.....

 

J'ai nettoyé les merdes avec hijack, cwshredder ne détecte rien.

 

Et les redirections sauvages persistent, quand je lis, quand j'ouvre une url, et le plus chiant quand j'écris un message (parfois tout est perdu).

 

J'ai nettoyé renettoyé avec kaspersky 5.0 pro, dernieres updates, et look n stop blinde le tout.

 

pour finir, j'ai mis adblock sur mozilla mais toujours pas mieux

 

 

Bref je nage.

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Sur l autre forum tu parles de la ligne 020 qui revient sans cesse sur ton rapport avec un nom différent!

Je ne la vois pas sur ce dernier rapport :P

 

Peux tu m en dire plus sur tes problemes stp?

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Sur l autre forum tu parles de la ligne 020 qui revient sans cesse sur ton rapport avec un nom différent!

Je ne la vois pas sur ce dernier rapport :P

 

Peux tu m en dire plus sur tes problemes stp?

 

 

Alors la ligne 20 a giclé suite au l2mfix mais le problème persiste. Les symptomes sont très simples, de manière intempestive, et non reproductible, je vais me manger n'importe quand et n'importe comment, de n'importe où, une redirection de mon navigatueur vers une page de pub, ce n'est pas un popup, c'est carrément un changement d'adresses, avec redimmensionnement de la fenetre en plus petit la plupart du temps. Pour retourner là ou j'étais je clique sur "reculer d'une page" la flèche de moz"...

Lien vers le commentaire
Partager sur d’autres sites

Bon, pour le moment je t invite a suivre la procédure préliminaire :

 

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'HijackThis

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

- désinstallation d'Antivir

 

-- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

Auteur : megataupe

 

 

Ensuite nous verrons quoi faire!

Lien vers le commentaire
Partager sur d’autres sites

Bon, pour le moment je t invite a suivre la procédure préliminaire :

Ensuite nous verrons quoi faire!

 

 

ok merci, je vais commencer par là..

 

y'a un autres aussi que je vais mettre en place c'est noscript l'extension de moz.

 

Bon finalement noscript n'a rien changé mais par contre voici ce que contient une des pages redirigées :

 

<body onUnload="window.open('http://64.192.130.141/cgi-bin/7upV2?query=ron');"><script TYPE="text/javascript" SRC="http://ad.yieldmanager.com/imp?z=0&s=2939&y=23"></SCRIPT></body>

 

 

bon allez je fais les étapes

Lien vers le commentaire
Partager sur d’autres sites

y'a un autres aussi que je vais mettre en place c'est noscript l'extension de moz

 

NoScript est une excellente extension (pour ne pas dire la meilleure de Firefox)!!

 

Tu peux suivre les conseils de megataupe pour sécuriser davantage Firefox

Lien vers le commentaire
Partager sur d’autres sites

NoScript est une excellente extension (pour ne pas dire la meilleure de Firefox)!!

 

Tu peux suivre les conseils de megataupe pour sécuriser davantage Firefox

 

 

bon noscript n'a rien changé. J'ai tout fait selon le txt et voilà le nouveau log (le probleme est toujours là, je viens de me le manger y'a pas 5 sec) :

 

 

Logfile of HijackThis v1.99.1

Scan saved at 17:02:32, on 26/10/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\rundll32.exe

C:\Program Files\Hijack This\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [siS KHooker] C:\WINNT\system32\khooker.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0

O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINNT\system32\ZONELABS\vsmon.exe (file missing)

 

Merci

 

 

Ps : code de la derniere page redirigée sans consentement :

<html><head><script language =" javascript"> window.location.href='http://apply.blinko.com/chat/?affil=1918';</script></head></html>

Modifié par Bacillus
Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Ton rapport ne montre rien d infectueux!

 

Télécharge et installe Ewido!

Une fois installé, met le a jour et scanne ton disque dure avec!

Ensuite poste moi le rapport qu il aura généré je te prie!

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...