Infection - spyware

Logiciel & apps Logiciel Général
1

salut,

je me suis fait infecter par un spyware hier soir .
apres avoir lancé ad-aware et mc afee viruscan (ne connaissent l’origine du proleme,pensent que cela aller éliminer cette contamination…)mais ces programmes n’agissent qu’ a tittre préventif.
apres an je viens vous demander de l’aide .
j’ai un DD partitionné en 3 parties, je peux formater ma partition “C:” mais pas les autres (dans la limite du possible)
je viens d’achetrer spyshooter que j’installerais une fois le PC néttoyé.
que me conseillez vous de faire,connaissez vous un programme qui puisse éliminer ce spyware ?
en vous remercient d’avance phil_01.

2

Sans connaitre son nom, tu ne trouveras pas d’aide.
Un coup de Hijackthis ca serais pas mal, et poster le fichier de log.
Egalement passer un coup de Microsoft Antispyware, c’est un bon complément à AdAware, tout comme Spybot search & destroy.
Perso je n’aime pas AdAware, mais ce n’est pas le débat.

Les antivirus ne servent à rien contre un spyware car ce n’est pas un virus mais un logiciel ou un plug-in.

Si tu pouvais aussi décrire les symptômes.

3

Nan mais ! Il est très bien adaware :smiley: .

Sinon je suis d’accord pour le reste :oui:

4

je viens de lancer spytrooper il a détecté énormément de fichier contaminé hight et viry hight infection ,lorsque je lance wanadoo,il refuse ,il me dit que l’ordi est infecté par un spyware,je te cache pas mon inquietude :sarcastic:

5

lorsque je lance wanadoo ,c’est le centre de sécurité qui s’affiche me disent que j’suis infécté par un spyware.

est ce que le nom du spyware pourait etre "W32.Sinnaka.A@mm" ?
coment puis je connais son nom ?

6

le pirate en question me nargue ,il a mon adresse mail,sur l’écrant des utilisateurs windows je n’ai plus administrateur, j’ai ma 2e céssion et en dessou il y a marqué vous un méssage non lu,et la apparé mon adresse mail !!!!

SVP aidez moi.

7

Télécharger Ewido
http://www.ewido.net/en/download/

passe en mode sans échec
http://service1.symantec.com/SUPPORT/INTER…020325143456924
et lance le scan

ça peut t’aider à identifer les processus dans ton ordi
Hijackthis 1.99.1
http://www.spywareinfo.com/~merijn/downloads.html

Enregistrer/ créer 1 dossier dédié (!! important !!) - ex : C: \HijackThis\Hijackthis.exe

  • Le lancer -> " Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée (onglet Main)>>Save log
  • Récupérer ce Log/texte avec le bloc notes.
  • Le copier/coller pour le faire évaluer

ici
http://www.hijackthis.de/fr

ou dans ce post si tu veux de l’aide

8

merci pour ton aide,

j’ai fait un scan en modre sans echec
je voudrais une précision;
lorsque tu dis “Enregistrer/ créer 1 dossier dédié (!! important !!) - ex : C: \HijackThis\Hijackthis.exe” est ce que je dois créer un reperetoire nomé ainsi pour intaller Hijackthis?

9

:oui: tu crées 1 C: \> “nouveau dossier” - tu l’appelles comme tu veux, pourvu que tu t’en rappelles :smiley:

10

Logfile of HijackThis v1.99.1
Scan saved at 17:08:59, on 04/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\jgdwml3a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\inet20002\services.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
D:\prog\Image\deamon tool\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\WINDOWS\inet20002\mm.exe
C:\WINDOWS\system32\dllcache\IExplore.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\CheckFlow\SpyShooter\5.0.0.2\FlowService.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\dllcache\IExplore.exe
C:\WINDOWS\system32\dllcache\IExplore.exe
C:\WINDOWS\system32\dllcache\IExplore.exe
C:\WINDOWS\system32\dllcache\IExplore.exe
C:\WINDOWS\system32\dllcache\IExplore.exe
C:\WINDOWS\system32\dllcache\IExplore.exe
C:\WINDOWS\system32\dllcache\IExplore.exe
C:\WINDOWS\system32\dllcache\IExplore.exe
C:\WINDOWS\system32\dllcache\IExplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\prog\protection\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe,syvhpi32.exe,ir50bios.exe,compaapi.exe,jgdwml3a.exe
F3 - REG:win.ini: run=C:\WINDOWS\inet20002\services.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\syvhpi32.exe,C:\Documents and Settings\phil\Application Data\Explorer\syvhpi32.exe,C:\WINDOWS\system32\ir50bios.exe,C:\WINDOWS\system32\compaapi.exe,C:\Documents and Settings\phil\Application Data\Explorer\compaapi.exe,C:\WINDOWS\system32\jgdwml3a.exe
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hp51E8.tmp
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\…\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\…\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\…\Run: [NVIDIA nTune] “C:\Program Files\NVIDIA Corporation\nTune\\nTune.exe” clear
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [nwiz] nwiz.exe /install
O4 - HKLM\…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\…\Run: [DAEMON Tools-1033] “D:\prog\Image\deamon tool\daemon.exe” -lang 1033
O4 - HKLM\…\Run: [Protocol Shedule] C:\WINDOWS\system32\jgdwml3a.exe
O4 - HKLM\…\Run: [SpyAxe] C:\Program Files\SpyAxe\spyaxe.exe /h
O4 - HKLM\…\Run: [xp_system] C:\WINDOWS\inet20002\services.exe
O4 - HKLM\…\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU\…\Run: [xp_system] C:\WINDOWS\inet20002\services.exe
O4 - HKCU\…\Run: [Protocol Shedule] C:\WINDOWS\system32\jgdwml3a.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: KVG.exe
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O4 - Global Startup: SATARAID5.lnk = ?
O8 - Extra context menu item: &Traduire à partir de l’anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse…pDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll (file missing)
O21 - SSODL: IEFilter - {CA94633A-6537-4CCE-BE2D-1F2CD764EB43} - C:\WINDOWS\system32\IEFilter.dll
O21 - SSODL: SysTray.Exgr - {5368D1FC-4F5C-4f1b-B134-E67214FC78E9} - C:\WINDOWS\system32\opfkcbep.dll
O21 - SSODL: Protocol Messenger - {7C3AADDB-DA2C-4626-AEE3-BA5986735E72} - C:\WINDOWS\system32\iexpszht.dll
O23 - Service: app_filter - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: FlowProtectorService - - C:\Program Files\CheckFlow\SpyShooter\5.0.0.2\FlowService.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

11

personne ne peut alors m’aider ??? :??:

12

Tu pourrais t’aider aussi, pourquoi tu n’as pas scanné avec Ewido et ensuite fait un log hijack ??

Télécharger CCleaner
http://www.ordi-netfr.com/ccleaner.php

mégA infection !!

C:\WINDOWS\system32\dllcache\IExplore.exe<–9 entrées! tu en as fait des manips de récup

C:\WINDOWS\system32<-- localisation\jgdwml3a.exe
C:\WINDOWS\inet20002\services.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\inet20002\mm.exe

fixed checked

F2 - REG:system.ini: Shell=Explorer.exe,syvhpi32.exe,ir50bios.exe,compaapi.exe,jgdwml3a.exe

F3 - REG:win.ini: run=C:\WINDOWS\inet20002\services.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\syvhpi32.exe,C:\Documents and Settings\phil\Application Data\Explorer\syvhpi32.exe,C:\WINDOWS\system32\ir50bios.exe,C:\WINDOWS\system32\compaapi.exe,C:\Documents and Settings\phil\Application Data\Explorer\compaapi.exe,C:\WINDOWS\system32\jgdwml3a.exe<-- :pfff:

O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hp51E8.tmp

O4 - HKLM\…\Run: [SpyAxe] C:\Program Files\SpyAxe\spyaxe.exe /h <-- supp le dossier complet SpyAxe
O4 - HKLM\…\Run: [xp_system] C:\WINDOWS\inet20002\services.exe
O4 - HKCU\…\Run: [xp_system] C:\WINDOWS\inet20002\services.exe
O4 - HKCU\…\Run: [Protocol Shedule] C:\WINDOWS\system32\jgdwml3a.exe
O4 - Global Startup: KVG.exe

O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll (file missing)

O21 - SSODL: IEFilter - {CA94633A-6537-4CCE-BE2D-1F2CD764EB43} - C:\WINDOWS\system32\IEFilter.dll
O21 - SSODL: SysTray.Exgr - {5368D1FC-4F5C-4f1b-B134-E67214FC78E9} - C:\WINDOWS\system32\opfkcbep.dll
O21 - SSODL: Protocol Messenger - {7C3AADDB-DA2C-4626-AEE3-BA5986735E72} - C:\WINDOWS\system32\iexpszht.dll

======== ============ ========= ======== ===========

1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

2) affiche les dossiers cachés (important)
Démarrer > Panneau de Configuration > Options des Dossiers >onglet Affichage > Dans la liste des “Paramètre avancés” sous la rubrique “Fichiers et dossiers cachés”
*[activer] “Afficher les fichiers et dossiers cachés”
*[désactiver] la case " Masquer les extensions des fichiers dont le type est connu"
*[désactiver] la case “Masquer les fichiers protégés du système d’exploitation”

3) passe en mode sans échec
voir/Touche F8 (ou F5)…
http://service1.symantec.com/SUPPORT/INTER…020325143456924

à partir d’ici tu es en mode sans échec

1° Lance Ewido (mis à jour) et scan - copie/colle le rapport (sauvegardee) ici

2° Re-Lancer Hijackthis -->" Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée (Open the misc tools>>onglet Main)
et fixed

Ferme Hijack

3° Ouvre l’Explorateur Windows - recherche et supprime tous les [fichiers.infectés].exeS en gras (selon localisation)

Ferme l’Explorateur

4° Reboot en mode normal

  • Lance CCleaner et nettoyage
  • refaire les étapes 1) et 2) dans le sens inverse (important)
  • Copier ici le rapport sauvegardé d’Ewido
  • Copier ici le nouveau rapport Hijack

@+

C:\Program Files\CheckFlow\SpyShooter <-- euh! … non rien http://kay.smiley.free.fr/images/190.gif

13

j’ai enfin de compte formaté ma partition C: car l’infection avait pris trop d’empleur.

ya un probleme avec spyshooter?

14

salut j’ai aussi ce problème de spyware infection pouvez vous m’aider je ne sait pas comment copier le contenu de Hijackthis

15

Formater pour ça :sarcastic: :ane:

Répondu sur ton sujet. :jap: