Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

spyware quake et autres méchants


Messages recommandés

Bonjour tout le monde!

 

Alors voilà, j'ai le programme spyware quake qui s'est installé (tout seul? je ne sais pas.) sur mon ordinateur et bien entendu je n'en veux pas! il m'embête avec son raccourci juste à coté de l'horloge et ces petits messages "your computer is infected". Je me dis "si j'ai chopé ça, j'en ai surement d'autres".

Je me bats dans le vide depuis une semaine en essayant de vider mes dossiers temp mais il reste toujours des fichiers.

 

Bon là ça y est j'y consacre ma soirée.

 

Alors j'ai suivi la procédure conseillée de base en 4 phases (antivir, mode sans echec, vidage dossiers temp etc..).

Je suis contente parce que mon log d'Hijackthis semble plus sain. MERCI pour tout ces conseils! :P

Par contre ya toujours ce satané spyware quake qui est là.

 

Au cas ou ça peut aider, je copie le dernier hijackthisLog ici.

__________________________________________________________________

Logfile of HijackThis v1.99.1

Scan saved at 23:44:41, on 15/04/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvctrl.exe

D:\programmes\antivirus\ZoneAlarm\zlclient.exe

D:\programmes\divers\Reader\reader_sl.exe

C:\WINDOWS\System32\UAService7.exe

C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

D:\programmes\antivirus\hijackthis\HijackThis.exe

 

O2 - BHO: Nothing - {8d83b16e-0de1-452b-ac52-96ec0b34aa4b} - C:\WINDOWS\System32\hp7226.tmp

O4 - HKLM\..\Run: [Zone Labs Client] D:\programmes\antivirus\ZoneAlarm\zlclient.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\programmes\divers\Reader\reader_sl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

 

________________________________________________________________________________

 

merci merci merci merci, à bientot!

snailinette

Lien vers le commentaire
Partager sur d’autres sites

'soir,

 

Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 ici:

 

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd

Dans le menu, sélectionne 1

 

Redémarre en mode sans échec, relance SmitfraudFix.cmd

Dans le menu, sélectionne 2

 

Désactives ton antivirus,d'ailleurs j'en vois pas :P ,tu pouvais garder antivir^^;car smitfraudfix est reconnu avec son process.exe par les av.

 

postes ces 2 rapports,et repost un logs hijackthis en mode normal.

 

Platform: Windows XP (WinNT 5.01.2600)

 

mets au moins le sp1!

et qls correctifs du sp2

http://www.autourdupc.com/index.php?sPage=...WINXP/WinXP.htm

Lien vers le commentaire
Partager sur d’autres sites

salut angelique!

Merci beaucoup pour tes conseils!

Je n'arrive pas à installer SP1 ou 2 ça ne marche pas. m'enfin tampis, ça ira bien sans.

 

Donc voici mes logs

 

SMITFRAUDFIX rapport 1 =

----------------------------------------------------------------------------------------------------------------

SmitFraudFix v2.31

 

Rapport fait à 13:28:08,34, 16/04/2006

Executé à partir de D:\programmes\antivirus\smitfraudfrix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\dfrgsrv.exe PRESENT !

C:\WINDOWS\system32\hp????.tmp PRESENT !

C:\WINDOWS\system32\interf.tlb PRESENT !

C:\WINDOWS\system32\ld????.tmp PRESENT !

C:\WINDOWS\system32\migicons.exe PRESENT !

C:\WINDOWS\system32\mssearchnet.exe PRESENT !

C:\WINDOWS\system32\ncompat.tlb PRESENT !

C:\WINDOWS\system32\nvctrl.exe PRESENT !

C:\WINDOWS\system32\ot.ico PRESENT !

C:\WINDOWS\system32\stickrep.dll PRESENT !

C:\WINDOWS\system32\ts.ico PRESENT !

C:\WINDOWS\system32\1024\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\pauline\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\pauline\Favoris

 

C:\Documents and Settings\pauline\Favoris\Antivirus Test Online.url PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

C:\Program Files\SpywareQuake\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"

 

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

 

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}"="USB Ware"

 

[HKEY_CLASSES_ROOT\CLSID\{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}\InProcServer32]

@="C:\WINDOWS\System32\stickrep.dll"

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}\InProcServer32]

@="C:\WINDOWS\System32\stickrep.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

----------------------------------------------------------------------------------------------------------------------

 

Voilà maintenant le SMITFRAUDFIX rapport n°2 après nettoyage en mode sans echec

SmitFraudFix v2.31

------------------------------------------------------------------------------------------------------------------------------

Rapport fait à 13:32:57,12, 16/04/2006

Executé à partir de D:\programmes\antivirus\smitfraudfrix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\system32\dfrgsrv.exe supprimé

C:\WINDOWS\system32\hp????.tmp supprimé

C:\WINDOWS\system32\interf.tlb supprimé

C:\WINDOWS\system32\ld????.tmp supprimé

C:\WINDOWS\system32\migicons.exe supprimé

C:\WINDOWS\system32\mssearchnet.exe supprimé

C:\WINDOWS\system32\ncompat.tlb supprimé

C:\WINDOWS\system32\nvctrl.exe supprimé

C:\WINDOWS\system32\ot.ico supprimé

C:\WINDOWS\system32\stickrep.dll supprimé

C:\WINDOWS\system32\ts.ico supprimé

C:\WINDOWS\system32\1024\ supprimé

C:\Documents and Settings\pauline\Favoris\Antivirus Test Online.url supprimé

C:\Program Files\SpywareQuake\ supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

---------------------------------------------------------------------------------------------------------------

 

Hop je redémarre, youpi il n'est plus là, je bondis de joie mais par contre dans C:\WINDOWS\TEMP\ , il y a toujours un ZLT04be4.TMP ineffaçable en mode normal

 

Voili voilou, tout de même je suis contente et voici le HijackthisLog que j'ai fait ensuite :

 

--------------------------------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 13:36:49, on 16/04/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

D:\programmes\antivirus\ZoneAlarm\zlclient.exe

D:\programmes\divers\Reader\reader_sl.exe

C:\WINDOWS\System32\UAService7.exe

C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

D:\programmes\antivirus\hijackthis\HijackThis.exe

C:\WINDOWS\System32\imapi.exe

 

O4 - HKLM\..\Run: [Zone Labs Client] D:\programmes\antivirus\ZoneAlarm\zlclient.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\programmes\divers\Reader\reader_sl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

 

----------------------------------------------------------------------------------------------------------

 

Voilà.

Est ce que c'est gentil ce UAService7.exe ? et spoolsv et imapi.exe.. je les sens pas... Et pourquoi est ce que j'ai deux svchost.exe ?

 

Bref, est ce que j'en ai fini?

 

--------------------------------------------------------------------------------------------------------

 

Voilà c'était long, désolée.En tout cas merci merci pour ton aide

 

pauline

Lien vers le commentaire
Partager sur d’autres sites

bonjour a tous,

 

etant donné que angelique n'est pas la (:P) je me permet de prendre la suite.

 

ton log est tout propre et les processus que tu consideres comme suspect ne le sont pas, si tu veux plus d'info dessus n'hesite pas a demander.

 

as tu encore des problemes avec ton PC?

Modifié par bruce lee
Lien vers le commentaire
Partager sur d’autres sites

bonjour snailinette

pour le ZLT04be4.TMP c'est lie à zone alarme donc pas de souci

pour le spoolsv c'est le service du spooler d'impression pas de souci

pour le reste attend les conseil d'un expert en secu

à+

ps bonjour bruce lee:grille

Modifié par pitcat
Lien vers le commentaire
Partager sur d’autres sites

Merci pour le relai :P bruce lee,pitcat;

 

snailinette;

 

UAService7.exe ( SecuROM User Access Service )Description : C'est le processus du " Service d'accès aux utilisateurs de SecuROM ". Il permet d'accèder a des disques protégés par le système SecuROM. Chemin du fichier : \%SystemRoot%\System32\UAService7.exe

Concepteur : SecuROM Virtual Drive

Service(s) associé(s) : Aucun

Processus Système : Non

Processus Applicatif : Oui

Priorité : Normale

Processus Arrière Plan : Non

Processus Réseau : Non

Processus Matériel : Non

Spyware : Non

Trojan : Non

Virus : Non

 

 

spoolsv - spoolsv.exe - Process Information

Process File: spoolsv or spoolsv.exe

Process Name: Microsoft Printer Spooler Service

 

Description:

spoolsv.exe is a Microsoft Windows system executable which handles the printing process to your local printers. This program is important for the stable and secure running of your computer and should not be terminated.

 

 

imapi - imapi.exe - Process Information

Process File: imapi or imapi.exe

Process Name: Microsoft IMAPI

 

Description:

imapi.exe is a part of the Microsoft Windows operating system, more specifically the Image Mastering Applications Programming Interface, which is used for CD recording. This program is important for the stable and secure running of your computer and should not be terminated.

 

 

 

et je confirme ZLT04be4.TMP temporaire de zone alarm [merci pitcat]

 

consideres tu ton probleme comme résolu???si oui ,onglet "editer" de ton 1er message et rajoute résolu ds son titre.

 

Tu peux meme te permettre de relancer hijackthis 'do a system scan only',cocher et fixchecked uniquement ces 2 lignes:

 

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\programmes\divers\Reader\reader_sl.exe

 

 

pui virer le dossier backup qui s'est crée là-->D:\programmes\antivirus\hijackthis\HijackThis.exe+backup--->supp le gras,c'est la sauvegarde de ces 2 lignes fixées si tu ne veux pas les retablir ultérieurement!

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Partager

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...