quelques spywares difficile à se débarasser: rapport eScan

[ajor]

Salut!

 

Apres avoir tester plein d'anti-spyware et autres protections (ad-aware, spybot, regcleaner, the Cleaner, winidows washer, etc) je me rends compte que j'est encore des saletés sur mon ordi.

 

Voici les erreurs que j'obtient en scannant avec eScan:

 

Objet "kazaa Spyware/Adware" trouvé dans fichier système! Action faite: Pas d'action prise.
Objet "kazaa Spyware/Adware" trouvé dans fichier système! Action faite: Pas d'action prise.
Objet "topsearch Spyware/Adware" trouvé dans fichier système! Action faite: Pas d'action prise.
Objet "topsearch Spyware/Adware" trouvé dans fichier système! Action faite: Pas d'action prise.
Objet "whenu.savenow Spyware/Adware" trouvé dans fichier système! Action faite: Pas d'action prise.


fichier log:


ERROR!!! Invalid Entry {B8323370-FF27-11D2-97B6-204C4F4F5020} = C:\Program Files\SmartFTP\smarthook.dll 
	 (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.


ERROR!!! Invalid Entry MessengerPlus3 = "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" 
	 (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.


ERROR!!! Invalid Entry System32\Drivers\adildr.sys in SYSTEM\CurrentControlSet\Services\ADILOADER...
ERROR!!! Invalid Entry system32\DRIVERS\adiusbaw.sys in SYSTEM\CurrentControlSet\Services\adiusbaw...
ERROR!!! Invalid Entry System32\Drivers\Pcouffin.sys in SYSTEM\CurrentControlSet\Services\Pcouffin...

Result: ERROR!!! File C:\DOCUME~1\Owner\LOCALS~1\TEMPOR~1\Content.IE5\Q9ABCVWX\cleaner4[1].cdb is Not Scanned

ERROR!!! Invalid Entry {B8323370-FF27-11D2-97B6-204C4F4F5020} = C:\Program Files\SmartFTP\smarthook.dll 
	 (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.

ERROR!!! Invalid Entry MessengerPlus3 = "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" 
	 (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.

 

et si ça peut aider, le log hijackthis:

 

Logfile of HijackThis v1.99.1
Scan saved at 16:50:32, on 09/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
D:\Program\The Cleaner\tca.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe
D:\Program\The Cleaner\tcm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Webroot\Washer\wwDisp.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mim.exe
C:\PROGRA~1\Webshots\webshots.scr
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\wwSecure.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmjb.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_director.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\MM_TDM~1.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\DOCUME~1\Owner\LOCALS~1\Temp\mexe.com
C:\DOCUME~1\Owner\LOCALS~1\Temp\kavss.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\Owner\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [tcactive] D:\Program\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] D:\Program\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O8 - Extra context menu item: &Search - http://ka.bar.need2find.com/KA/menusearch.html?p=KA
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm (file missing)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{643B0027-EF7B-4D13-A88B-59DC92D00D02}: NameServer = 10.0.0.138,10.0.0.139
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: hpdj - HP - C:\DOCUME~1\Owner\LOCALS~1\Temp\hpdj.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe

 

Voila, j'espere que j'ai bien présenté le probleme...

 

Merci.

 

Ajor

[regis56]

Bonjour ajor !

 

Je ne vois pas d'antivirus d'installer sur ton Pc

Ni de parefeu ?

 

Ne sois pas étonné d'etre infecté !

 

tu devrai suivre la procedure voir ici

 

http://forum.zebulon.fr/index.php?showtopic=83986

 

Bon courage

 

A plus !

[Thanos]

salut

 

Ouaip, sans compter ceci: eMuleAutoStart ... idéal pour être infecté! Lis ceci , pour voir les bienfaits du P2P

 

http://forum.zebulon.fr/index.php?showtopic=85544

[ajor]

j'ai installé un parefeu (kerio) et plusieurs autres anti spyware, mais je n'arrive toujours pas à me débarasser de topSearch et de whenU.saveNow.

Seulement eScan détecte ces spywares, savez vous comment faire?

Ni Spybot, ni ad-aware, ni spyRemover n'ont pu me détecter ces programmes.

 

Devrais-je carrément tout réinstaller??

[Thanos]

salut ajor,regis 56

 

Ton rappport hiajckthis n'est pas fait comme il faut,pour qu'on puisse voir tout ce qui se lance au démarrage:

 

il faut que tu passes par Démarrer/Exécuter => tapes msconfig

 

Ensuite dans l'onglet "Démarrage" , j'aimerai que tu coches toutes les cases présentes!

 

Puis tu quittes msconfig en cliquant sur "Appliquer" : il te sera demandé "voulez vous redémarrer?" ,redémarre

 

le pc et reviens coller un nouveau rapport hijackthis.De + ajoutes y le rapport fait de cette manière:

 

vas dans le menu "ouvrir la section outils" de hijackthis=> "Ouvrir Ajout/suppression de programmes" =>

 

clique sur "sauver"=> le rapport sera mis dans "Mes documents " par défaut, copie /colle le rapport "uninstall

 

list" dans ton prochain message.

Modifié le 13 février 2006 par charles ingals