Bonsoir. En passant Spybot j’ai découvert un probléme : FunWebProducts qui est sur la Clé de Registre et je souhaiterai savoir comment m’en débarrasser ! Apparement ça n’a pas d’incidence sur le fonctionne de XP, mais sachant à quoi cela correspond je préférerai ne plus l’avoir ! Merci pour vos conseils !
Bonjour,
Si on a bien compris, Spybot Search & Destroy n’a pas pû éradiquer l’ intrus. Il me semble en effet qu’il est corriace.
Des fichiers actifs l’empêchaient peut-etre.
As-tu essayé Spybot en mode sans echec ?
Il reste un autre programme à essayer , également en mode sans échec:
Ad-Aware SE Personal
==> http://www.clubic.com/telecharger-fiche12797-ad-aware-se-personal.html
Si ces programmes n’y arrivent toujours pas, il faudra essayer:
CoolWebShredder
==> http://www.intermute.com/spysubtract/cwshredder_download.html ( anti
parasites Web )
Si CoolWebShredder 'y arrive pas, il faudra essayer l’ultime:
Hijackthis
site de l’auteur, rubrique Download
http://www.spywareinfo.com/~merijn/index.html
ou là:
http://www.majorgeeks.com/downloads31.html
Un lien pour apprendre à analyser un rapport de HJ:
http://www.zebulon.fr/articles/HijackThis.php
Pour interprêter le fichier .log : on a 2 possibilités
soit : Site d’interpretation automatique d’un fichier .log:
http://hijackthis.de/index.php?langselect=french
on leur soumet un copier/coller du rapport HJ
soit : tu postes ici le fichier .log et le forum te guidera
:wahoo: voilà
Bonjour. J’ai essayé la manip comme indiqué. échec sur toute la ligne ! En mode sans échec, Adware m’a trouvé une clé de registre virusée qu’il a néttoyé. Spybot, en mode sans échec, aurait néttoyé 1 sur 4 des clés virusées par FunWebProducts, mais en mode normal j’ai retrouvé le probléme !
Lorsque je veut aller néttoyer les fichiers temporaires et les cookies,appliquer est grisé, donc inexploitable ! Et je ne sais pas pourquoi le mot de passe de connection ne tient plus en mémoire, et il faut que je le fasse manuellement !
Merci beaucoup pour vos conseils. Marc
As-tu désactivé la restauration système avant de faire ces scans ? Parce que sinon, c’est normal qu’ils reviennent.
Tu as passé HijackThis ? Poste le log ici.
eh bien, ça promet dis donc!
Il semble qu’il y ait des protections un peu partout.
Qu’en est-il de CooWebShredder et HijackThis :
" echec sur toute la ligne" veut-il dire que tu les as lancés aussi ?
Salut Nglechau [:smokingmen]
j’ai l’impression que koko3 a ferré un gros poisson
Bonjour. J’avais désactivé restauration systéme avant de faire les scans. J’avais passé HijackThis et fait une interprétation en ligne, laquelle m’avait 2 trucs méchants.Je me suis rendu compte que je n’avais accès à la restauration systéme.
Voici le dernier que je vins de faire :
Logfile of HijackThis v1.99.1
Scan saved at 12:28:09, on 04/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Yahoo!\Messenger\YPager.exe
C:\Program Files\MSN\MSNCoreFiles\msn6.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\hijackthis (v199.1)\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [ccRegVfy] “C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe”
O4 - HKLM…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM…\Run: [gcasServ] “C:\Program Files\Microsoft AntiSpyware\gcasServ.exe”
O4 - HKLM…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM…\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: SurfinGuard Pro.lnk = C:\Program Files\Finjan\SurfinGuard Pro\bin\winsfcm.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://Download.Windowsupdate.com
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094286820390
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (Image Uploader 3.0 Control) - http://www2.photoweb.fr/order/telechargement-photoweb.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip…{368BF5BB-D70E-46B5-8EFC-9F4B30DB4F22}: NameServer = 212.151.136.246 130.244.127.169
O20 - AppInit_DLLs: FHook.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
Merci pour vos conseils,
Marc
Qu’en est-il de CooWebShredder et HijackThis :
" echec sur toute la ligne" veut-il dire que tu les as lancés aussi ? Oui !
coucou Mike 
Et pourtant le log semble bien clean, à part quelques trucs inutils :??:
oui, je vois que tu as fait un HJ
dans les O4, celui ci:
O4 - HKLM…\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
est-ce que tu sais à quoi ça correspond?
Ok, AdslTaskBar = pas dangereux
O4 - HKLM…\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar = c’est la connexion ADSL. Merci pour vos conseils
Koko3
cette ligne:
O17 - HKLM\System\CCS\Services\Tcpip…{368BF5BB-D70E-46B5-8EFC-9F4B30DB4F22}: NameServer = 212.151.136.246 130.244.127.169
les numéros du domaine Internet : est-ce que ce sont ceux de ton fournisseur d’accès ?
Je ne sais pas à quoi elle correspond. HJT me l’a déjà signalée, et je l’ai plusieurs fois enlevée, et je la retrouve. Comment puis-je trouver les n° du domaine internet.
D’autre part XoftSpy vient de me trouver d’autre truc sur les clés de registre
Misére de Misére ! On n’en sort jamais avec ces virus. Merci pour vos conseils
Re-salut,
Me revoilà de retour du :miam:
@Mike :
Puisque tu es très souvent en ligne et que sans toi que faisons-nous les pauvres forumeurs :lol:, et pour répondre à la question de Koko, je vous file ces adresses pour vérifier des IP si vous ne les connaissiez pas :
Pour Europe :
==> donc nous avons pour ce cas :
==> les IP en question sont des DNS du FAI de Koko, Télé 2. C’est pourquoi ça revient chaque fois qu’il se connecte 
HJT l’avertit juste aux cas où.
Pour Amérique :
http://www.arin.net/whois/index.html
et enfin, Australie et Asie :
http://www.apnic.net/apnic-bin/whois2.pl
Si une IP n’est pas dans le registre local, le site nous indique le nom du registre auquel l’IP est assignée.
Alors le problème de Koko n’est pas là.
@Koko :
Donne-nous les clés que XoftSpy t’a indiquées !
Fais gaffe quand m^me : ce soft donne pas mal de fausses alertes.
Es-tu sûr que tu as un pb, parce que ton log HJT est propre à ce que je vois.
Nglechau :
marchi pour les adresses .
Koko3 :
Peux-tu faire le point : à savoir ce qui ne va pas après toutes ces manips car, comme dit Nglechau, le rapport HJ a l’air correct
Je suppose que tu vas dire que FunWebProducts est toujours détecté par les logiciels Spybot Ad-Aware etc
Y-a-t-il d’autres problemes sérieux de navigation
Je viens de trouver une page pour se débarrasser de cette ( )
ici:
http://spyware-removal.thrcomputer.com/how-to/remove-funwebproducts.html
essaye de voir ce que ça donne et demande des infos si tu as des diffucultés avec le Registre
Voiçi les clés indiquées :
[b]- GROKSTER Registry Key P2P Needs Spyware Potential dangerous
- Aomum Registry Key Malaware clsid{147a976e-eee1-4377-8ea7-4716Ge4cdd239} minimal threat
- Aomum Registry Key Malaware clsid{90Fb8248-617F-460d-9366-d71cdeda3179} minimal threat
- W32HLLW.Heffer File Wom c:\Windows\install.exe threat[/b]
Peut être que l’ordi n’a pas de probléme, il est stable, mais je sais que Spybot détecte toujours le même truc, alors… D’autre part, je n’ai plas accès à Windows UpDate, et le systéme de restauration est pas accessible.
Merci de vos conseils.Marc