Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

detection de winhound


Messages recommandés

:P bonjour,

 

spybot a detecté "winhoud"????????? >>REGLAGE>>>HKEY_local_machine_\softawre\winhound.com

j'ai voulu le supprimer >>ne peut être supprimé car sans doute fichiers considérés comme actif ( memoire)

à la demande jai fait ok il est toujour là

 

je vous transmets le rapport hijackthis

 

 

Logfile of HijackThis v1.99.1

Scan saved at 08:52:21, on 29/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Logiciels\Mozilla\firefox.exe

C:\Documents and Settings\Padre\Mes documents\raccourcis antivirus\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=http://127.0.0.1:80

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Office\Office10\OSA.EXE

O4 - Global Startup: Raccourci vers firefox.lnk = C:\Logiciels\Mozilla\firefox.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\LOGICI~1\Office\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll

O11 - Options group: [PAC] Automatic Proxy Configuration

O16 - DPF: {39EA2F6F-3F50-4F58-9C63-4B3D53B0926E} - http://scripts.downloadv3.com/binaries/P2E..._1049_FR_XP.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {5054F860-748D-4840-B7B4-DDDB428421AF} - http://ipdata.phoneaccess.com/dialer/1/cab...phoneaccess.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1143560247519

O16 - DPF: {6AA85413-165C-4200-8154-71166077B22E} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {8B3B8135-9DAA-40E7-8941-962795F9C1CB} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control) - http://www.checkspy.com/fr/FlowScan.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

pouvez vous me dire comment faire pour le detruire

je vous remercie d'avance salutation BH

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour le soucieux et bienvenue sur le forum de zeb-sécu!

 

Suit la procédure de pré-nettoyage de Mégataupe :P

 

Je ne vois pas d'antivirus sur ton rapport donc garde antivir au lieu de l'enlever comme indiqué dans la procédure OK ?

 

Bonjour à tous. Les virus, adware, malware et autres spywares étant devenus de plus en plus sophistiqués et particulièrement coriaces à éradiquer pour certains d'entre-eux, il est apparu que la méthode de nettoyage préliminaire et d'analyse qui était proposée ne donnait plus toutes les garanties nécessaires en terme de localisation des infections présentes sur un PC.

 

Fort de ce constat et suite aux réflexions et suggestions d'IPL et Tesgaz :P , il vous est donc proposé une nouvelle méthode qui allie légèreté (utilisation de deux logiciels) et efficacité (procédure de nettoyage antivermines et analyse en mode sans échec; le mode sans échec ayant l'avantage de ne lancer que les processus indispensables au système d'exploitation, aucun virus résident ne démarrant dans ce mode).

 

Celle-ci se décompose en 4 phases que l'on peut résumer comme suit :

 

Phase 1 : mode normal : téléchargement des outils (antivirus et logiciel HijackThis)

 

Phase 2 : redémarrage en mode sans échec, affichage de tous les fichiers (fichiers cachés et fichiers système)

 

Phase 3 : nettoyage simple du système (fichiers/dossiers inutiles), examen antivirus, désinstallation d'Antivir, redémarrage en mode normal, installation et utilisation d'HijackThis

 

Phase 4 : envoi du rapport HijackThis pour analyse

 

----------

 

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la) :

http://speedweb1.free.fr/frames2.php?page=tuto5

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis (

http://www.merijn.org/files/hijackthis.zip

ou

http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "

Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- désinstallation d'Antivir

 

-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

- Redémarrer le PC en mode normal

 

- installation et utilisation d'HijackThis

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire.

- attendre l'analyse et la réponse.

 

Bon courage et tiens nous au courant à plus !

Modifié par regis56
Lien vers le commentaire
Partager sur d’autres sites

Bonjour le soucieux et bienvenue sur le forum de zeb-sécu!

 

Suit la procédure de pré-nettoyage de Mégataupe :P

 

Je ne vois pas d'antivirus sur ton rapport donc garde antivir au lieu de l'enlever comme indiqué dans la procédure OK ?

Bon courage et tiens nous au courant à plus ! :-P

 

Suit la procédure de pré-nettoyage de Mégataupe :P

Bon courage et tiens nous au courant à plus ! :-(

 

 

merci de m' avoir repondu

1/ jai dû desintaller avast pour cause d incompatibilité avec

spy swweeper il me le bloque il faudrai que le desinstall ( je l'ai acheté) idem avec le parefeu zone alerte

2/ j 'ai fait mode sans echec : window ne l'accepte pas ( je partage avec mon fil un 2e PC) pourtant je suis l adminstrateur.

3/ smitfraudfixe>>>C\\WINDOWS \SYSTEM32 \CMD .exe>>>>fichier Processexe absent donc je ne puis le teléchargé pour une analyse complementaire ave hijackthis

voilà merci

Lien vers le commentaire
Partager sur d’autres sites

merci de m' avoir repondu

1/ jai dû desintaller avast pour cause d incompatibilité avec

spy swweeper il me le bloque il faudrai que le desinstall ( je l'ai acheté) idem avec le parefeu zone alerte

2/ j 'ai fait mode sans echec : window ne l'accepte pas ( je partage avec mon fil un 2e PC) pourtant je suis l adminstrateur.

3/ smitfraudfixe>>>C\\WINDOWS \SYSTEM32 \CMD .exe>>>>fichier Processexe absent donc je ne puis le teléchargé pour une analyse complementaire ave hijackthis

voilà merci

 

je vous apporte un complément d'info sur le mode sans echec sur mon pc

 

windows m' informe quil fonctionne en mode sans echec >>voir panneau de configuration et essayer de demarer windows à nouveau.

certaines periphéries ne seront peut être pas disponible en mode sans echec.

pour continuer à travailler en mode sans echec cliquer "oui" /si vous preferez utiliser la restauration

du systeme pour restaurer votre ordinateur dans l ' état précedent cliquer "non"

merci de la lecture

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir le soucieux !

 

Je sait pas si j'ai bien compris ton problème, mais si tu as une incompatibilité entre Spysweeper Avast et ton parefeu vire spysweeper et remet avast et ton pare feu c'est plus important !

 

Ensuite lorsque l'on installe un nouveau programme il est souvent conseiller de désactiver toutes les protections qui peuvent générer des conflits lors de l'installation.

 

Donc revoir tout tes programmes ! et refais des installations propres STP !

 

pour le mode sans échec si tu as un mode normal tu as forcément un mode sans échec !

 

voici un lien pour avoir plus d'info dessus

http://service1.symantec.com/support/inter...020905112131924

 

Revois tout ca !

Fais la procédure de pré-nettoyage !

Poste le rapport !

Si problème reviens nous voir !

A plus !

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir le soucieux !

 

Je sait pas si j'ai bien compris ton problème, mais si tu as une incompatibilité entre Spysweeper Avast et ton parefeu vire spysweeper et remet avast et ton pare feu c'est plus important !

 

Ensuite lorsque l'on installe un nouveau programme il est souvent conseiller de désactiver toutes les protections qui peuvent générer des conflits lors de l'installation.

 

Donc revoir tout tes programmes ! et refais des installations propres STP !

 

pour le mode sans échec si tu as un mode normal tu as forcément un mode sans échec !

 

voici un lien pour avoir plus d'info dessus

http://service1.symantec.com/support/inter...020905112131924

 

Revois tout ca !

Fais la procédure de pré-nettoyage !

Poste le rapport !

Si problème reviens nous voir !

 

 

A plus !

:P bonjour,

j'ai essayé de me metre en mode sans echec un encard m'averti que :

Windows fonctionne en mode sans echec>>>voir panneau de configuration et essayez de démarer windows à nouveau à jours)Certains périphéries ne seront peut être pas disponible en mode sans echec.

pour continuer à travailler en mode sans echec cliquer "oui" si vous preferez utiliser la restauration au systeme pour restaurer votre ordinateur dans l etat précedent cliquer "non"

 

hier windows s'est mis à jour 12 correctifs + 15 mises à jour + autres soit au total 39 mises à jour

 

j'ai fait une sauvegarde le 28/03

 

question si desactive spy swweepe que jai acheté pourrai-je le remettre?

j'ai dans executé mcs ou service mcs pour savoir si j avais un parefeu windows reponse windows: inconnu

 

merci salutation BH

Lien vers le commentaire
Partager sur d’autres sites

Re

 

j'ai essayé de me metre en mode sans echec un encard m'averti que :

Windows fonctionne en mode sans echec>>>voir panneau de configuration et essayez de démarer windows à nouveau à jours)Certains périphéries ne seront peut être pas disponible en mode sans echec.

pour continuer à travailler en mode sans echec cliquer "oui" si vous preferez utiliser la restauration au systeme pour restaurer votre ordinateur dans l etat précedent cliquer "non"

 

Pour continuer en mode sans échec clique sur oui

 

question si desactive spy swweepe que jai acheté pourrai-je le remettre?

j'ai dans executé mcs ou service mcs pour savoir si j avais un parefeu windows reponse windows: inconnu

Remet tes protections en places AV et parefeu ! avec Spysweeper si cela ne fonctionne pas désactive spysweeper et réinstalle l'AV et le parefeu

Sinon désinstalle spysweeper remet L'AV et le parefeu

Quand tu essai de réinstaller Spysweeper désactive L'AV et le parefeu et cela devrait marcher !

 

A plus !

Lien vers le commentaire
Partager sur d’autres sites

Re

Pour continuer en mode sans échec clique sur oui

Remet tes protections en places AV et parefeu ! avec Spysweeper si cela ne fonctionne pas désactive spysweeper et réinstalle l'AV et le parefeu

Sinon désinstalle spysweeper remet L'AV et le parefeu

Quand tu essai de réinstaller Spysweeper désactive L'AV et le parefeu et cela devrait marcher !

 

A plus !

:P p

jai essayé pour la4e fois

pour le mode sans echec il nen veut pas il me dit qu il marche sans echec

jj'ai le page qui souvre en identique en demarage sans echec ou demarge normal:

mon identité puis il procede a la mise en places des parametres pour souvrir sur mozlla .

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir le soucieux !

 

On va essayer ca STP

 

Télécharge Smitrem ici

http://www.bleepingcomputer.com/files/smitRem.php

Cliquer sur smitRem Download Link sauvegarde le sur le bureau puis dé-zipper dans un dossier à son nom (Smitrem)

 

-Ouvrir le dossier Smitrem qui est sur le bureau !

Double-cliquer sur RunThis.bat

Plusieurs fenètres vont s'ouvrir les lire et continuer en appuyant sur n'importe quelle touche

Si "l'uninstaller" démarre c'est que Smitrem a détécté une infection !

Cliquer sur Uninstall

Il va se fermer automatiquement puis cliquer sur n'importe quelle touche

Quand Smitrem aura finit il lancera disk cleanup automatiquement !

 

-Coller le rapport smitfiles.txt ici

 

A plus !

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir le soucieux !

 

On va essayer ca STP

 

Télécharge Smitrem ici

http://www.bleepingcomputer.com/files/smitRem.php

Cliquer sur smitRem Download Link sauvegarde le sur le bureau puis dé-zipper dans un dossier à son nom (Smitrem)

 

-Ouvrir le dossier Smitrem qui est sur le bureau !

Double-cliquer sur RunThis.bat

Plusieurs fenètres vont s'ouvrir les lire et continuer en appuyant sur n'importe quelle touche

Si "l'uninstaller" démarre c'est que Smitrem a détécté une infection !

Cliquer sur Uninstall

Il va se fermer automatiquement puis cliquer sur n'importe quelle touche

Quand Smitrem aura finit il lancera disk cleanup automatiquement !

 

-Coller le rapport smitfiles.txt ici

 

A plus !

:P bonjour,

j'ai installé Smitrem Double-cliquer sur RunThis.bat

j'ai suivi à la lettre vos instuctions résulatS:

entête

:C:\\windows \systeme 32 \cmd.exe ( bien dans dans system 32 dans carré noir à louverture: un écran noirrien dedans >>> application>>>> version du fichier 501026000.0// 379 ko du 21/08/01)

dessous :

trojan-spy .HTML.Smitfaud.c

KILLER BY NOAHDFEAR VERSION2.2

un encart

This toolwas tailored to kill smitfraud .c and variants

If you do not trust the source close this windows.

noahfear does not assume any liability for damage or loos fron running this tool

Use at your own risk

voilà jen suis là question ilya t-il relation avec

winhound hkey_local_machine\software\winhound.com? dejà signalé

merci de votre analyse BH

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Partager

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...