DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 27 Nov 2024 à 1:33 FAQ | Rechercher | Membres | Groupes

probléme de Spyware


Aller à la page Précédente  1, 2, 3  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 13 Jan 2008 à 17:01    Sujet du message: Répondre en citant

Bonjour Aladdin on va essayer autre chose:



1. Télécharge combofix.exe (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe
http://www.forospyware.com/sUBs/ComboFix.exe

sur ton Bureau.

2. Double clique sur combofix.exe puis tape 1 pour lancer le scan.

3. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

Le rapport se trouve également ici : C:\Combofix.txt

NOTE: Combofix peut être détecter par certains antivirus.
Ne pas en tenir compte, c'est un faux positif

Cliquer sur ignorer et continuer la procédure 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Aladin



Inscrit le: 22 Nov 2007
Messages: 88

MessagePosté le: 14 Jan 2008 à 10:37    Sujet du message: Répondre en citant

Bonjour Zaede,

le rapport de Log supprimé

Merci bien
_________________
- Tu crois qu'il y a une vie sur la lune ?
- Évidemment il y a de la lumière 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 15 Jan 2008 à 3:22    Sujet du message: Répondre en citant

Bonjour aladdin, tu as du monde sur ce PC:


1/ Ouvre le Bloc-notes ( Menu Démarrer\Tous les programmes\Accessoires\Bloc-notes)

2/ Copie ce qui est en citation ci-dessous (sans le mot citation) par sélection puis Ctrl-C :

Citation:

Folder::
C:\VundoFix Backups
C:\Documents and Settings\ABIR.ABIR-6834F46247\Application Data\MenacesProtection
C:\Documents and Settings\ABIR.ABIR-6834F46247\Application Data\libresystem
C:\Documents and Settings\All Users.WINDOWS\Application Data\libresystem

File::
C:\windows\system32\drivers\zpvxrzzs.dat
C:\WINDOWS\system32\dsdm.dll
C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL KM.exe
C:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe
C:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL systems.com
C:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sxs.exe

Driver::
hbkoduap

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0E8B0EAF-E018-4B4E-99A9-CBD395E051DE}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0f156766-a94f-11dc-bb48-00d0d08a0a15}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0f15676a-a94f-11dc-bb48-00d0d08a0a15}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19ecf68d-9e8b-11dc-8cb4-00d0d08a0a15}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{41648483-9675-11dc-8c94-00d0d08a0a15}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{441a8fd7-be0b-11dc-afa1-dd953e55db18}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4fda0efc-b6c1-11dc-a911-00d0d08a0a15}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{560543ed-a6f4-11dc-a8f2-00d0d08a0a15}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{659140cc-ac77-11dc-a8fc-00d0d08a0a15}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6920fc81-a8c7-11dc-bb44-00d0d08a0a15}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c8c61bb-a715-11dc-a8f3-00d0d08a0a15}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8ba6e52-9380-11dc-8c86-00d0d08a0a15}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e7418e4c-bb96-11dc-af99-00d0d08a0a15}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ede04f8a-b5e4-11dc-a909-00d0d08a0a15}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe79427e-b49b-11dc-a908-f1491c3f0141}]


- Enregistre ce fichier dans: Bureau

- Nom du fichier : CFScript

- Type du fichier : tous les fichiers

- Clique sur Enregistrer

- Quitte le Bloc Notes

- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

- Une fenêtre bleue va apparaître: au message suivant:

Type 1 to continue, or 2 to abort tape 1 puis valide.

- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises, c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

- Si le fichier ne s'ouvre pas, il se trouve ici > C:\ ComboFix.txt 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Aladin



Inscrit le: 22 Nov 2007
Messages: 88

MessagePosté le: 15 Jan 2008 à 16:01    Sujet du message: Répondre en citant

Resalut Zaede,

le rapport Log supprimé

et A+
_________________
- Tu crois qu'il y a une vie sur la lune ?
- Évidemment il y a de la lumière 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 16 Jan 2008 à 2:27    Sujet du message: Répondre en citant

Bonjou aladdin,

Encore une ligne infecté



1/ Ouvre le Bloc-notes ( Menu Démarrer\Tous les programmes\Accessoires\Bloc-notes)

2/ Copie ce qui est en citation ci-dessous (sans le mot citation) par sélection puis Ctrl-C :

Citation:

File::
C:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eb319e2b-c278-11dc-afaf-00d0d08a0a15}]


- Enregistre ce fichier dans: Bureau

- Nom du fichier : CFScript

- Type du fichier : tous les fichiers

- Clique sur Enregistrer

- Quitte le Bloc Notes

- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

- Une fenêtre bleue va apparaître: au message suivant:

Type 1 to continue, or 2 to abort tape 1 puis valide.

- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises, c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

- Si le fichier ne s'ouvre pas, il se trouve ici > C:\ ComboFix.txt

- Poste un nouveau log hijackthis 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Aladin



Inscrit le: 22 Nov 2007
Messages: 88

MessagePosté le: 16 Jan 2008 à 12:42    Sujet du message: Répondre en citant

Bonjour Zaede,

le rapport de Log supprimé

normalement que le pbm de fichier dsdm.dll est réglé, reste de me confirmer es qu'il y a une infection dans mon PC.

A+
_________________
- Tu crois qu'il y a une vie sur la lune ?
- Évidemment il y a de la lumière 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 17 Jan 2008 à 1:27    Sujet du message: Répondre en citant

Bonjour aladdin, dsdm.dll faisait partie de l'infection et tu avais aussi une infection de type adobeR
Pour éviter ce type d'infection, choisis d'ouvrir tes disques dur externes, cartes mémoires, clé usb mp3 et autres support amovible en faisant un clic droit et choisis ouvrir dans le menu contextuel, tu éviteras ainsi d'infecter le PC
Tu avais aussi quelques rogues (faux utilitaires de désinfection)

n va faire un scan enligne pour vérifier s'il ne reste rien de caché:


- Fais un scan en ligne ici http://webscanner.kaspersky.fr/ (Avec Internet Explorer)

- En bas à droite clique sur Démarrer Online-scanner

- Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

- Accepte les Contrôle ActiveX

- Choisis Poste de travail pour le scan.

- Celui-ci terminé sauve (Choisis fichier texte) et poste le rapport

- Pour t'aider à utiliser le scan en ligne
http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

- Lis ceci en cas de problème d'installation du Contrôle ActivX:

http://cybersecurite.xooit.com/t123-Les-controles-ActiveX.htm 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Aladin



Inscrit le: 22 Nov 2007
Messages: 88

MessagePosté le: 19 Jan 2008 à 14:25    Sujet du message: Répondre en citant

salut Zaede,

voila de rapport de scan-online de KAV :

-------------------------------------------------------------------------------
Log supprimé

et selon le résultat après le scan, il a trouver 03 virus et 05 fichiers infectés

A+
_________________
- Tu crois qu'il y a une vie sur la lune ?
- Évidemment il y a de la lumière 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 19 Jan 2008 à 19:00    Sujet du message: Répondre en citant

Bonjour aladdin,

- Télécharge OTMoveIt (de Old_Timer) http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe enregistre ce fichier sur le
bureau

- Double-clique sur OTMoveIt.exe

- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

- Copie le texte qui se trouve en citation (sans le mot citation) et colle-le dans le cadre de gauche de OTMoveIt

nommé Paste List of Files/Folders to be moved

Citation:

C:\qoobox
C:\WINDOWS\system32\apphel.dll
C:\WINDOWS\system32\avifil.dll
C:\WINDOWS\system32\bthser.dll


- Clique sur MoveIt! pour lancer la suppression.

- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit

- Vide la corbeille

- Poste le rapport qui se trouve dans C:\_OTMoveIt\MovedFiles

Refais un scan kaspersky 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Aladin



Inscrit le: 22 Nov 2007
Messages: 88

MessagePosté le: 21 Jan 2008 à 9:33    Sujet du message: Répondre en citant

le résultat de OTMoveIt :

C:\qoobox\Quarantine\Registry_backups moved successfully.
C:\qoobox\Quarantine\C\WINDOWS\system32\drivers moved successfully.
C:\qoobox\Quarantine\C\WINDOWS\system32 moved successfully.
C:\qoobox\Quarantine\C\WINDOWS moved successfully.
C:\qoobox\Quarantine\C\Program Files\MyWebSearch\SrchAstt moved successfully.
C:\qoobox\Quarantine\C\Program Files\MyWebSearch\bar\Settings moved successfully.
C:\qoobox\Quarantine\C\Program Files\MyWebSearch\bar\Notifier moved successfully.
C:\qoobox\Quarantine\C\Program Files\MyWebSearch\bar\Message moved successfully.
C:\qoobox\Quarantine\C\Program Files\MyWebSearch\bar\History moved successfully.
C:\qoobox\Quarantine\C\Program Files\MyWebSearch\bar\Game moved successfully.
C:\qoobox\Quarantine\C\Program Files\MyWebSearch\bar\Cache moved successfully.
C:\qoobox\Quarantine\C\Program Files\MyWebSearch\bar\Avatar moved successfully.
C:\qoobox\Quarantine\C\Program Files\MyWebSearch\bar moved successfully.
C:\qoobox\Quarantine\C\Program Files\MyWebSearch moved successfully.
C:\qoobox\Quarantine\C\Program Files\Internet Explorer moved successfully.
C:\qoobox\Quarantine\C\Program Files\FunWebProducts\Shared\Cache moved successfully.
C:\qoobox\Quarantine\C\Program Files\FunWebProducts\Shared moved successfully.
C:\qoobox\Quarantine\C\Program Files\FunWebProducts\ScreenSaver\Images moved successfully.
C:\qoobox\Quarantine\C\Program Files\FunWebProducts\ScreenSaver moved successfully.
C:\qoobox\Quarantine\C\Program Files\FunWebProducts moved successfully.
C:\qoobox\Quarantine\C\Program Files moved successfully.
C:\qoobox\Quarantine\C\Documents and Settings moved successfully.
C:\qoobox\Quarantine\C\ComboFix moved successfully.
C:\qoobox\Quarantine\C moved successfully.
C:\qoobox\Quarantine moved successfully.
C:\qoobox\BackEnv moved successfully.
C:\qoobox moved successfully.
File/Folder C:\WINDOWS\system32\apphel.dll not found.
File/Folder C:\WINDOWS\system32\avifil.dll not found.
LoadLibrary failed for C:\WINDOWS\system32\bthser.dll
C:\WINDOWS\system32\bthser.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\bthser.dll scheduled to be moved on reboot.

Created on 01/21/2008 08:26:46

es le scan online peut désinfecté les fichers ?


think's...
_________________
- Tu crois qu'il y a une vie sur la lune ?
- Évidemment il y a de la lumière 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Aladin



Inscrit le: 22 Nov 2007
Messages: 88

MessagePosté le: 21 Jan 2008 à 11:27    Sujet du message: Répondre en citant

Resalut Zaede

voila le nouveau rapport de scan online :

-------------------------------------------------------------------------------
Log supprimé


je pense qu'il y a 1 spy très dangeureux dans mon pc
A+
_________________
- Tu crois qu'il y a une vie sur la lune ?
- Évidemment il y a de la lumière 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 21 Jan 2008 à 22:25    Sujet du message: Répondre en citant

Bonjour aladdin,

Supprime C:\Program Files\Trend Micro\HijackThis <== ce dossier



- Double-clique sur OTMoveIt.exe

- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

- Copie le texte qui se trouve en citation (sans le mot citation) et colle-le dans le cadre de gauche de OTMoveIt

nommé Paste List of Files/Folders to be moved

Citation:
C:\WINDOWS\system32\bthser.dll


- Clique sur MoveIt! pour lancer la suppression.

- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit

- Vide la corbeille

- Poste le rapport qui se trouve dans C:\_OTMoveIt\MovedFiles

Refais un scan kaspersky 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Aladin



Inscrit le: 22 Nov 2007
Messages: 88

MessagePosté le: 23 Jan 2008 à 10:20    Sujet du message: Répondre en citant

salut Zaede,

le voila le résultat de OTMovelt :

DllUnregisterServer procedure not found in C:\WINDOWS\system32\bthser.dll
C:\WINDOWS\system32\bthser.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\bthser.dll scheduled to be moved on reboot.

Created on 01/22/2008 17:29:44

c'est le même spyware que l'ancien Shock mais il à trouver un autre fichier, à la place "dsdm.dll" il est devenu "bthser.dll". Smile

selon mais recherche Shock je trouve que ce spyware prend un des fichiers systèmes, fait une copie du même nom sauf la dernière lettre par exemple le fichier d'origine de "dsdm.dll" c'est le "dsdmo.dll" et le fichier d'origine de "bthser.dll" c'est le "bthserv.dll".

Une question : es qu'on peut le supprimé définitivement quand je rentre a MS-DOS ?

Merci bien...
_________________
- Tu crois qu'il y a une vie sur la lune ?
- Évidemment il y a de la lumière 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 23 Jan 2008 à 19:10    Sujet du message: Répondre en citant

Bonjour aladdin, je ne pense pas que ce soit le même

On va refaire un scan en changeant d'antivirus:


ouvre ce lien :

http://www.bitdefender.com/scan8/ie.html

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier ici 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 23 Jan 2008 à 19:10    Sujet du message: Répondre en citant

Bonjour aladdin, je ne pense pas que ce soit le même

On va refaire un scan en changeant d'antivirus:


ouvre ce lien :

http://www.bitdefender.com/scan8/ie.html

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier ici 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
Aller à la page Précédente  1, 2, 3  Suivante 
Page 2 sur 3 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum