gros probleme : spyware impossible à supprimer

tirol · le 29 décembre 2005

Ouais,

bearshare peut-être !

bien catalogué ( ) ici: http://www.spywareinfo.com/articles/p2p/

Tirol.

cjulie91 · le 29 décembre 2005

j'ai fix checked toutes les lignes (et j'ai bien fais attention à ne pas me tromper) mais cela a empirer : je ne peux plus accéder à internet (wanadoo.exe et quelques autres fichiers ont été supprimé) et il y a sans cesse des messages d'erreurs qui apparaissent et qui me demandent de fermer mes applications.

je commence sincèrement à désespérer....

pour windows xp comme je l'ai dit, je ne aucun moyen de le mettre à jours et d'installer sp1 et je ne peux l'acheter en ce moment par manque de moyen....

j'ai partitionné mon disque dur le jour ou j'ai monté mon ordi. pensez vous qu'il est nécéssaire de formater le disque C sachant que tous mes dossiers personnels sont sur le E ?

je ne pourrais envoyer de rapport que cet après midi car j'utilise un poste qui n'ai pas le mien.

en tout cas merci de vos conseils !!!

angelique · le 29 décembre 2005

les lignes fixés ne correspondent en rien à ta connexion wanadoo,reinstalles ton pack wanadoo.

désactives ta restauration system.

Vérifies que ton bios est configuré pour booter sur ton cd d'xp:

1st boot device=cdrom

2nd boot device=hdd0

3rd boot device=disable

boot other device=disable

Mets ton cd d'xp ds ton lecteur,démarre sur le cdrom et laisse aller jusqu'à la page "bienvenue".

Tu choisis "installer",il va te detecter une version d'xp sur ton hdd,donc tu l'écraseras,c'est à dire réinstaller xp sans perte de données,et tu te laisse guider.

Il aurait été bien d'avoir ton rapport hijack suite à la procédure et au fixchecked.

un .txt sur une disquette ne prend pas de place^^.

cjulie91 · le 29 décembre 2005

voici mon dernier rapport hijackthis. désolé de ne pas l'avoir publié avant mais je n'ai pas accès à internet comme je le souhaiterais (ordinateur professionnel d'un collègue)

Logfile of HijackThis v1.99.1

Scan saved at 13:08:23, on 12/29/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\Lg\command.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\Program Files\Wanadoo\Watch.exe

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\Program Files\desksite\bin\cma.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe

C:\WINDOWS\System32\per.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\CursorXP\CursorXP.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\Flmmncag.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Julie\LOCALS~1\Temp\se.dll/space.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Julie\LOCALS~1\Temp\se.dll/space.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Class - {424E3970-C42B-B0EE-5949-FE8987AD05F6} - C:\WINDOWS\system32\sdksd.dll (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: (no name) - {C4D00FB5-7E1E-424E-BF55-5ABC79DB61BC} - C:\WINDOWS\System32\pbbc.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Desksite CMA] C:\Program Files\desksite\bin\cma.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"

O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\per.exe internat.dll,LoadKeyboardProfile

O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Julie\LOCALS~1\Temp\se.dll,DllInstall

O4 - HKLM\..\Run: [WinHound] C:\Program Files\WinHound\WinHound.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Bloquer ce serveur... - C:\Program Files\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: Bloquer cette publicité... - C:\Program Files\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir tous les liens de la page... - C:\Program Files\Avant Browser\OpenAllLinks.htm

O8 - Extra context menu item: Rechercher sur le Web... - C:\Program Files\Avant Browser\Search.htm

O8 - Extra context menu item: Surligner - C:\Program Files\Avant Browser\Highlight.htm

O18 - Filter: text/html - {6338AE47-82DE-485A-9D86-E1EA024C968B} - C:\WINDOWS\System32\pbbc.dll

O18 - Filter: text/plain - {6338AE47-82DE-485A-9D86-E1EA024C968B} - C:\WINDOWS\System32\pbbc.dll

O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll

O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Lg\command.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Est-il possible d'installer xp avec un autre cd que celui utilisé la première fois ?

Je n'ai pas pu exécuter toutes les indications que angelique m'a précédemment demander de faire : impossible de trouver les fichiers à supprimer. ils ne se trouvaient pas aux emplacements indiqués.

Autre probleme : lorsque je lance spybot il détecte entre autre "commande service" je crois que c à cause de cela que je ne peux plus rien faire.... et mon gestionnaires des tâches à disparu à nouveau.

Spybot a également détecter coolwwwsearch je l'ai déjà eu et je sais qu'il est très coriace....

Vaut-il mieux formater le lecteur C ?

Jack_Burton · le 29 décembre 2005

Bonjour,

C est normal que tu ne puisses plus aller sur le net!

La ligne 017 n apparait plus sur le rapport!

Regarde dans les sauvegardes (backup) de hijackthis et restaure la ligne 017 suivante :

O17 - HKLM\System\CCS\Services\Tcpip\..\{C292D0A6-A954-4C24-A3F6-53C2AB3D486D}: NameServer = 80.10.246.1 80.10.246.132

Ton rapport montre de sérieux signes d infection!

Je débute une analyse! Réponse dans un moment

cjulie91 · le 29 décembre 2005

je ne suis pas sure que hijackthis ait fait une sauvegarde...est ce en general il sauvegarde automatiquement avant de supprimer les lignes ?

(merci d'avoir répondu aussi vite car je ne peux pas restée très longtemps sur internet )

Jack_Burton · le 29 décembre 2005

Re bonjour a tous,

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

1/ *Télécharge About:Buster : http://downloads.subratam.org/AboutBuster.zip

Dézippe dans un répertoire dédié place un raccourci sur le bureau et mets à jour

* Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

* Télécharge la version d'essai d'Ewido ici :

http://www.ewido.net/fr/

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

2/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

4/ Dans le menu Demarrer>Executer >tape: Services.msc

Recherche le service avec cette orthographe exacte:

-Command Service (cmdService)

- Boonty Games

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

5/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s):

-WinHound

-Boonty Games<--- pas infectueux mais inutile a mes yeux!

6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :