Forum Clubic

'me suis chopé une sal***perie... - Windows a détecté un spyware... RESOLU

Bonjour tout le monde, :hello:

Mon PC XP Pro Français a été infecté par un logiciel dont je ne connais pas le nom.
J’ai un rond rouge avec un croix blanche qui s’est installé près de l’horloge. A tout moment j’ai une infobulle qui apparait :

Your computer is infected!
Windows has detected spyware infection!

Its recommanded to use spécial antispyware tools to prevent
data loss. Windows will now download and install the most
up-to-date antispyware for you.
Click here to ptrotect your conputer against spyware

Il est clair que ce n’est pas un message Windows…
J’ai essayé de cliquer pour voir quel programme il voulait installer afin de pouvoir l’éradiquer mais quand je clique sur le lien, rien ne se passe.

Comment puis-je enlever cette mer***?

Merci,

Cristaline.

Personne n’a de piste pour m’aider à résoudre mon problème? :sweet:

Cristaline.

salut

en effet, c’est un spyware/adaware
Ne clique pas dessus sinon il va télécharger et installer son soi disant antispyware…

commence par coller ici un log Hijackthis

Qu’as-tu en antivirus, antispyware ?

:hello: Essaie deja de passer SpyBot, en mode “sans echec”, apres avoir desactiver ta restauration systeme, et vide ton cache IE, ainsi que supprimmer tes fichiers Temp :wink: ; si ca suffit pas, tu postera un rapport HijackThis, et les pro de ce log essaierons de t’aider :slight_smile:

:hello: Kyrnael, nos post se sont croises :slight_smile:

Hello!

J’ai Norton AV (corporate), Spybot et Ad-aware.
Je vais les lancer en mode sans échec, voir ce que ca donne et si ca ne va pas, copier le rapport Hijackthis comme demandé.

Merci.

Cristaline.

:hello: Paulposition :slight_smile:

:hello: , Tiens je tourne avec la V4 d’Outpost Pro, c’est :super: :oui:

[OFF ] en attendant le résultat de cristaline150 :slight_smile:

oui, je l’ai essayé … c’est vrai qu’Agnitum fait de + en + fort

en ce moment je teste Comodo Firewall qui est impressionant en termes de fonctionalités pour un gratuit :ouch:
De même qu’Outpost 4, il passe toutes les tentatives de désactivation : http://www.firewallleaktester.com/termination.php

Je suis stealth avec tous les tests que je connais (pcflank, GRC …)

Hello! :hello:

J’ai essayé de passer SpyBot et Ad-Aware en mode sans échec, ils plantent tout les deux au bout de quelques minutes (10-15 min). :sweet: Je n’ai donc pas passé Hijackthis.
Je vais télécharger les dernières versions ce jour et réessayer un scan ce week-end pour voir ce que ca donne. Je posterai ensuite le rapport Hijack.

Merci,

Cristaline.

ps : tiens, je ne sais pas si c’est lié, mais hier quand j’ai voulu me connecter à Internet j’ai remarqué que mon login et mon psw ont été modifiés avec des signes bizaroïdes (pour le login en tout cas, vu que pour le psw ce sont des ***** lol).

Coucou!

Bon, voilà, j’ai essayé de réinstaller Spybot et Ad-Aware mais ils plantent toujours en cours d’analyse :frowning:

J’ai donc fait un rapport Hijack. Si vous pouviez le consulter et me donner votre avis…

Merci d’avance,

Cristaline.


Logfile of [HijackThis](http://www.clubic.com/telecharger-fiche17891-hijackthis.html) v1.99.1
Scan saved at 16:52:57, on 22/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\NavNT\rtvscan.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\NavNT\vptray.exe
C:\Program Files\USB ADSL\CnxDslTb.exe
C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\itunesff.exe
C:\winstall.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\System32\alg.exe
I:\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\USB ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c221 -w91
O4 - HKCU\..\Run: [KillAndClean] "C:\Program Files\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .bmp: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O16 - DPF: {33331111-1131-1111-1111-611111193428} - 
O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl221bd.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.166 85.255.112.132
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.166 85.255.112.132
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/ipsec.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl221bd.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.166 85.255.112.132
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.166 85.255.112.132

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll

Fixe ces lignes , et en mode sans échec supprime vbsys2.dll qui se trouve dans C:\WINDOWS\system32

et ça aussi

O4 - HKCU\…\Run: [Windows installer] C:\winstall.exe

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O4 - HKCU\…\Run: [Windows installer] C:\winstall.exe

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll

Oki, :jap:

Merci à vous deux! :bounce:

Cristaline. :hello:

Voili voilou!

J’ai tout fait comme vous avez dit et cela fonctionne impeccablement! :bounce: :bounce:

Merci pour votre aide!!! :jap: :clap: :clap: :jap: :super:

A+, :hello:

Cristaline. :slight_smile: