Eradiquer entrée HKLM RESIDU SPY FALCON

[speed999]

(xp64 /1go ram/ amd dual 4400)

 

BONJOUR a tous,

 

voila, j ai été victime du faucon espion ( quel conne....!!!) mais bon bien bien chiant...! soit apres avoir suivi et opéré mon pc sous differents angles,j 'ai tuer la bete! mais bon le probleme c'est qu il ne reste plus aucun fichier ou autre trace de spy falcon sur mon pc sauf ds mon registre. quand j execute hijack je garde en permanence plusieur ligne que je n arrive pas a erradiquer (mode sans echec compris) et aussi suppression manuelle a partir drectement du registre...

Donc voila marre marre marre. je laisse ici plus bas les principale ligne problematiques de mon log hijkak, j ai lu les autres poste concernant le faucon chiant mais apparement il a des petits frere qui n agisse pas tous dans la meme direction.... HELP!

 

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

 

a part ceci plus haut le reste a ete analisé en ligne (tout es bon)

 

merci de votre reponse

 

Alex

[bruce lee]

bonjour,

 

as tu suivi la procedure preliminaire si tu ne l'as pas fait fais le:

 

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com . Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la) : http://speedweb1.free.fr/frames2.php?page=tuto5

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- désinstallation d'Antivir

 

-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

- Redémarrer le PC en mode normal

 

- installation et utilisation d'HijackThis

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

auteur : megataupe

 

P.S: j'aimerai aussi le log en entier s'il te plait

 

@+ et bon courage

[speed999]

bonjour,

 

as tu suivi la procedure preliminaire si tu ne l'as pas fait fais le:

P.S: j'aimerai aussi le log en entier s'il te plait

 

@+ et bon courage

 

 

Salut Mega taupe et merci de ta reponse,

 

voila je te donne quelque precisions peut etre te seront elle plus utiles?

en fet, mon antivirus n'a rien laissé passé , c'est moi l' hors d'une manip qui ai eteind le firewal (defragmentation du registre) j'utilise ZA PRO SUITE et jusqu'ici pas de gros blemes..... ceci etant meme apres l'avoir remis en fonction apres cette instalation forcée (spy falcon ne m'a pas demandé mon avis!) ZA n'a rien detecté! la jm'me pose quand meme des questions, mais dans la mesure ou il aura suffit de couper mon firwal pour pour que spy falcon s'instale je pense que l ont ne peux pas dire que ZA l'a laissé passé... Soit ceci peux faire l objet d un autre debat, donc j ai utilisé SmitfraudFix en mode sans echec et enfin deja j ai plus eu ce popup intempestif pour me signaler que mon pc etait infecté... la seul chose qu il en reste c'es les quelque ligne ds le HKLM REPRIS ci dessous dans mon log que je te copiecolle en entier....

 

voila j espere que tu pourras m'aider car jusque la, personne n'a pu le faire..

 

Logfile of HijackThis v1.99.1

Scan saved at 8:25:32, on 2/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\WINDOWS\ATKKBService.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Fichiers communs\Stardock\SDMCP.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ZoneLabs\isafe.exe

C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Tray Commander\TC.exe

C:\Program Files\RightClick\RightClick.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Hijack\HijackThis.exe

 

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [sBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe"

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"

O4 - HKCU\..\Run: [Tray Commander] C:\Program Files\Tray Commander\TC.exe

O4 - HKCU\..\Run: [Privacy Eraser Pro] C:\Program Files\Privacy Eraser Pro\PrivacyEraser.exe /Startup

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O20 - Winlogon Notify: MCPClient - C:\Program Files\Fichiers communs\Stardock\mcpstub.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

 

merci de ta reponse

@+

Alex

[speed999]

bonjour,

 

as tu suivi la procedure preliminaire si tu ne l'as pas fait fais le:

P.S: j'aimerai aussi le log en entier s'il te plait

 

@+ et bon courage

 

j allais oublier a quoi ce rapporte ses ligne exactement, je veux dire qu'en es t il de se que spy falcon a laissé sur mon pc? vu qui a plus rien, pas de fichier ,dosssier,dll, ou tout type de fichier quelquonque repris dans les autres reponses lié a spy falcon...j'ai verif et rien de rien..... donc voila si tu peux me dire quoi cela m interesse..

merci encore.

 

alex.+

[bruce lee]

bonjour,

 

le reste de ton log est propre, je voulais le verifier au cas ou, pour les lignes 015 on va

 

d'abord essayer avec ca:

 

 

1/telecharger ce fichier http://downloads.malwareremoval.com/Nel/FixP.zip

sur le bureau.

 

2/Extraies et double clique sur Fix_Protocol_zones_ranges.reg.

 

3/Accepte lorsqu'il te demande de fusionner avec le registre.

 

4/ redemarre ton PC

 

5/repost un nouveau log hijackthis

 

@+

[speed999]

bonjour,

 

le reste de ton log est propre, je voulais le verifier au cas ou, pour les lignes 015 on va

 

d'abord essayer avec ca:

1/telecharger ce fichier http://downloads.malwareremoval.com/Nel/FixP.zip

sur le bureau.

 

2/Extraies et double clique sur Fix_Protocol_zones_ranges.reg.

 

3/Accepte lorsqu'il te demande de fusionner avec le registre.

 

4/ redemarre ton PC

 

5/repost un nouveau log hijackthis

 

@+

 

 

Voila ce qui s'apelle du bon boulot, je te remercie et si je peux un jour te rendre un sevice aussi se sera avec le plus grand plaisir...

je te rend mon log qui me semble clean epuré et tout marche nickel ( j'ai vérif sur le site hijack en ligne)

A tout hasard et sans trop abuser de ton temps peux tu svp jetter un coup d 'oeil sur un bleme ds une autre catégorie qui reste a mon niveau un vrai poid je te fillerai dans le commentaire suivant le lien du questionnaire que j'avais posté ya quelques tps...ds tous les cas j'aimerai avoir ton avis si possible et vu ta compétence. Voila encore 1000 X merci et bonne continuation dans tes recherches.

amitié, Alex.

 

 

Logfile of HijackThis v1.99.1

Scan saved at 23:17:42, on 3/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Stardock\SDMCP.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\Program Files\RightClick\RightClick.exe

C:\WINDOWS\ATKKBService.exe

C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Program Files\Tray Commander\TC.exe

C:\Program Files\Privacy Eraser Pro\PrivacyEraser.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Hijack\HijackThis.exe

 

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [sBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe"

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"

O4 - HKCU\..\Run: [Tray Commander] C:\Program Files\Tray Commander\TC.exe

O4 - HKCU\..\Run: [Privacy Eraser Pro] C:\Program Files\Privacy Eraser Pro\PrivacyEraser.exe /Startup

O20 - Winlogon Notify: MCPClient - C:\Program Files\Fichiers communs\Stardock\mcpstub.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[speed999]

bonjour,

 

le reste de ton log est propre, je voulais le verifier au cas ou, pour les lignes 015 on va

 

d'abord essayer avec ca:

1/telecharger ce fichier http://downloads.malwareremoval.com/Nel/FixP.zip

sur le bureau.

 

2/Extraies et double clique sur Fix_Protocol_zones_ranges.reg.

 

3/Accepte lorsqu'il te demande de fusionner avec le registre.

 

4/ redemarre ton PC

 

5/repost un nouveau log hijackthis

 

@+

 

 

re , voila pour l autre tutto que j ai posté ya quelques tps...merci de checker si tu peux.

 

@+

http://forum.zebulon.fr/index.php?showtopic=92326

[bruce lee]

bonjour,

 

ton log est propre, le fix a marcher

 

pour ton autre probleme, désole mais je ne vois pas du tout, mais dedans marque un up pour que les

 

helpers le voient et qu'ils puisses te repondre.

 

@+

 

EDIT: pense a mettre la question en résolu tu edites le titre de ton sujet et tu mets devant [résolu]

Modifié le 4 mai 2006 par bruce lee