Over spy: désinstallation impossible

Jack_Tower · Août 17, 2007, 4:25

Hello! :hello:

depuis que j’ai installé overspy, je rencontre plusieurs problèmes: gdata m’informe toujours que le service lié à overspy à infecté un fichier win32, et qu’il y a un malware win32.spy que j’arrive pas à supprimer, mon pc rame beaucoup et est devenu lent, et je n’ai aucun contrôle sur overspy, je ne sais pas comment l’ouvrir ou du moins comment le gérér parce qu’il n’y a aucune fenêtre et aucune icône de lancement!

Auriez-vous une idée, svp? Merci d’avance. :jap:

www.overspy.com…

snookette · Août 17, 2007, 4:31

Salut ,

Tu es victime d’un Rogue ! ( google pour traduire )

Passe SmitfraudFix :
siri.urz.free.fr…

Redémarre le pc et poste un rapport Hijackthis . ( 1er post à lire et signature pour télécharger )
www.pcinpact.com…
Edité le 17/08/2007 à 16:32

Jack_Tower · Août 17, 2007, 4:47

Snookette! :hello:

Merci de ton aide!

J’ai obtenu ceci avec l’utilitaire:

SmitFraudFix v2.212

Rapport fait à 16:43:38,51, ven. 17/08/2007
Executé à partir de C:\Program Files\Flock\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rohos\ntserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\G DATA AntiVirusKit\AVK\AVKService.exe
C:\Program Files\G DATA AntiVirusKit\AVK\AVKWCtl.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\Steganos Internet Anonym VPN\SVPNStarter.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\Program Files\Pure Networks\Network Magic\nmsrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\G DATA AntiVirusKit\AVKTray\AVKTray.exe
C:\Program Files\Roxio\Media Experience\DMXLauncher.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Launchy\Launchy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\3B Software\Common\Scheduler\wcomschd.exe
C:\WINDOWS\Integrator.exe
C:\Program Files\Flock\flock\flock.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\xxxxx

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\xxxxx\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\xxxxx\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
“Source”=“About:Home”
“SubscribedURL”=“About:Home”
“FriendlyName”=“Ma page d’accueil”

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
“AppInit_DLLs”=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“System”=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Motorola SURFboard SB5101 USB Cable Modem - Miniport d’ordonnancement de paquets
DNS Server Search Order: 195.130.130.1
DNS Server Search Order: 195.130.130.129
DNS Server Search Order: 195.130.129.161
DNS Server Search Order: 195.130.130.161

Description: TAP-Win32 Adapter V8 - Miniport d’ordonnancement de paquets
DNS Server Search Order: 212.19.48.14

HKLM\SYSTEM\CCS\Services\Tcpip…{5CCAB9F7-4B83-4406-A7E7-B0BCFBAC0C1C}: NameServer=212.19.48.14
HKLM\SYSTEM\CCS\Services\Tcpip…{96655740-36CD-44EE-AD08-3B8A433D9075}: DhcpNameServer=195.130.130.1 195.130.130.129 195.130.129.161 195.130.130.161
HKLM\SYSTEM\CS1\Services\Tcpip…{5CCAB9F7-4B83-4406-A7E7-B0BCFBAC0C1C}: NameServer=212.19.48.14
HKLM\SYSTEM\CS1\Services\Tcpip…{96655740-36CD-44EE-AD08-3B8A433D9075}: DhcpNameServer=195.130.130.1 195.130.130.129 195.130.129.161 195.130.130.161
HKLM\SYSTEM\CS3\Services\Tcpip…{5CCAB9F7-4B83-4406-A7E7-B0BCFBAC0C1C}: NameServer=212.19.48.14
HKLM\SYSTEM\CS3\Services\Tcpip…{96655740-36CD-44EE-AD08-3B8A433D9075}: DhcpNameServer=195.130.130.1 195.130.130.129 195.130.129.161 195.130.130.161
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=195.130.130.1 195.130.130.129 195.130.129.161 195.130.130.161
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=195.130.130.1 195.130.130.129 195.130.129.161 195.130.130.161
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=195.130.130.1 195.130.130.129 195.130.129.161 195.130.130.161

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

snookette · Août 17, 2007, 4:48

Passe SmitfraudFix en mode sans échec et prends l’option 2 pour Nettoyage

Jack_Tower · Août 18, 2007, 10:52

Ca a l’air de marcher, il a supprimé un fichier et mon pc est bcp plus réactif!

Merci snookette!

snookette · Août 18, 2007, 10:56

Dans ma signature sur PCinpact , passe Clean 2.0 et installe le fichier Hosts .

Poste ensuite un rapport Hijackthis .

++
Edité le 18/08/2007 à 10:56

Jack_Tower · Août 18, 2007, 11:18

je les vois pas

snookette · Août 18, 2007, 11:26

Lol … pas mal de liens dans ma signature , pourtant …
www.pcinpact.com…
Edité le 18/08/2007 à 11:26

Jack_Tower · Août 18, 2007, 11:50

J’ai tapé cmd, et j’ai eu ce message: l’invite de commande a été désactivé par votre administrateur.

Enfin ça m’embête trop ce machin, j’ai jamais eu la patience de bidouiller dans windows! :icon_biggrin:

Enfin, merci beaucoup! j’essaierai de résoudre le problème de l’invite de commande et d’appliquer ta solution, elle a l’air pas du tout! :super:

snookette · Août 18, 2007, 11:54

Procédure 2 , alors … double clic sur Clean.cmd

N’oublies pas de redémarrer le pc et de poster un nouveau rapport Hijackthis .
Edité le 18/08/2007 à 11:55

Jack_Tower · Août 18, 2007, 12:05

Ouiou, j’ai une grosse frayeur là, un message me dit que des fichiers nécessaires au fonctionnement de windows ont été remplacés par des fichiers d’une version non reconnue et il me demande d’insérer le cd de windows pour les restaurer. Je le fais?

snookette · Août 18, 2007, 12:08

Normal , c’est TourStart qui est supprimé par Clean 2.0 ( la visité guidée de XP ) . Refuse le CD

… puis ne t’effrayes pas non plus si ton wallpaper disparait ! lol … suffit de le remettre , puis Actualiser
Edité le 18/08/2007 à 12:14

Jack_Tower · Août 18, 2007, 12:15

Ouf, j’ai cru que mon pc ne redémarerrait plus, il s’est bloqué au démarrage pendant un certain et après il a démarré comme une flèche!

A part que j’ai un problème, avec le navigateur flock, toutes les bordures ont disparues dans les pages internet, j’obtiens du texte brut!

snookette · Août 18, 2007, 12:21

Ctrl + touche F5

Jack_Tower · Août 18, 2007, 12:24

Ca marche! :love:

Mirci!

Bon je vais manger, ces frayeurs m’ont donné une grosse faim! :ane:

Merci bcp de ton aide, tu es très bon en informatique. Tu devrais créer un petit site internet avec tes tutoriels et un outil de chat et intégrer quelques publicités pour générer du revenu! :super:

snookette · Août 18, 2007, 12:25

Bon app

Jack_Tower · Août 18, 2007, 12:33

Merci!

:hello: