Forum Clubic

Pb spyware - spyware récalcitrant

j’ai un gros souci, toutes les 5 min, j’arrête pas d’avoir des fenêtres de pub qui s’ouvrent sur mon pc sans avoir pour autant lancé explorer.
J’ai lancé spybot, ça a rien fait.
j’ai utilise un nettoyeur de registre, ça change rien
j’ai utilisé un logiciel pour voir les programmes qui se lancent au démarrage et supprimer ceux qui me semblaient suspects, ça change tjrs rien.
j’ai même été supprimer des fichiers ds la base windows, système et program files.
J’arrive tjrs pas à trouver où est ce foutu fichier. Si qqun a une idée, ça serait pas de refus.
Merci d’avance

-regarde les processus qui sont en marche, peut-être que quelques uns sont suspects.

-Autrement utilise un 2ème anti spyware comme ad-aware, quelquefois cela détecte un spyware qui n’a pas été trouvé par le premier…

Salut , c’est quoi le nom du spyware et c’est quoi les message d’erreur? sinon essaye ewido en version , d’essai de 15jours il est trees bien et comme antitroyan essaye A2 squared en version free, on sait jamais

Télécharge HijackThis[/url] ( [url=http://www.clubic.com/telecharger-fiche17891-hijackthis.html]http://www.clubic.com/telecharger-fiche17891-hijackthis.html ) et poste le logfile ici

alors voilà !!!
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\DELL PRINTERS\ADDITIONAL COLOR LASER SOFTWARE\STATUS MONITOR\DLPWD95.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
c:\windows\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAM FILES\DELL PRINTERS\ADDITIONAL COLOR LASER SOFTWARE\STATUS MONITOR\DLSDB95.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\PROGRAM FILES\GOTO SOFTWARE\VADE RETRO\VADERETRO_OE.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\WINDOWS\SYSTEM\AUTOUPDATEV2.EXE
C:\PROGRAM FILES\HERCULES\WIFI STATION\WIFISTATION.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAM FILES\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\SUNTHREATENGINE.EXE
C:\PROGRAM FILES\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\SUNPROTECTIONSERVER.EXE
C:\PROGRAM FILES\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\SUNSERVER.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\BUREAU\AL\HIJACKTHIS_HIJACKTHIS_1.99.1_ANGLAIS_17891.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.6:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.1.*;INTRANET
;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 127.0.0.5 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.5 x.full-tgp.net
O1 - Hosts: 127.0.0.5 counter.sexmaniack.com
O1 - Hosts: 127.0.0.5 autoescrowpay.com
O1 - Hosts: 127.0.0.5 www.autoescrowpay.com
O1 - Hosts: 127.0.0.5 www.awmdabest.com
O1 - Hosts: 127.0.0.5 www.sexfiles.nu
O1 - Hosts: 127.0.0.5 awmdabest.com
O1 - Hosts: 127.0.0.5 sexfiles.nu
O1 - Hosts: 127.0.0.5 allforadult.com
O1 - Hosts: 127.0.0.5 www.allforadult.com
O1 - Hosts: 127.0.0.5 www.iframe.biz
O1 - Hosts: 127.0.0.5 iframe.biz
O1 - Hosts: 127.0.0.5 www.newiframe.biz
O1 - Hosts: 127.0.0.5 newiframe.biz
O1 - Hosts: 127.0.0.5 www.vesbiz.biz
O1 - Hosts: 127.0.0.5 vesbiz.biz
O1 - Hosts: 127.0.0.5 www.pizdato.biz
O1 - Hosts: 127.0.0.5 pizdato.biz
O1 - Hosts: 127.0.0.5 www.awmcash.biz
O1 - Hosts: 127.0.0.5 awmcash.biz
O1 - Hosts: 127.0.0.5 buldog-stats.com
O1 - Hosts: 127.0.0.5 www.buldog-stats.com
O1 - Hosts: 127.0.0.5 fregat.drocherway.com
O1 - Hosts: 127.0.0.5 slutmania.biz
O1 - Hosts: 127.0.0.5 www.slutmania.biz
O1 - Hosts: 127.0.0.5 toolbarpartner.com
O1 - Hosts: 127.0.0.5 www.toolbarpartner.com
O1 - Hosts: 127.0.0.5 www.megapornix.com
O1 - Hosts: 127.0.0.5 megapornix.com
O1 - Hosts: 127.0.0.5 www.sp2fucked.biz
O1 - Hosts: 127.0.0.5 sp2fucked.biz
O1 - Hosts: 127.0.0.5 greg-tut.com
O1 - Hosts: 127.0.0.5 www.greg-tut.com
O1 - Hosts: 127.0.0.5 nylonsexy.com
O1 - Hosts: 127.0.0.5 www.nylonsexy.com
O1 - Hosts: 127.0.0.5 vparivalka.com
O1 - Hosts: 127.0.0.5 www.vparivalka.com
O1 - Hosts: 127.0.0.5 iframeprofit.com
O1 - Hosts: 127.0.0.5 www.iframeprofit.com
O1 - Hosts: 127.0.0.5 topsearch10.com
O1 - Hosts: 127.0.0.5 www.topsearch10.com
O1 - Hosts: 127.0.0.5 statscash.biz
O1 - Hosts: 127.0.0.5 www.statscash.biz
O1 - Hosts: 127.0.0.5 vxiframe.biz
O1 - Hosts: 127.0.0.5 www.vxiframe.biz
O1 - Hosts: 127.0.0.5 crazy-toolbar.com
O1 - Hosts: 127.0.0.5 www.crazy-toolbar.com
O1 - Hosts: 127.0.0.5 topcash.biz
O1 - Hosts: 127.0.0.5 www.topcash.biz
O1 - Hosts: 127.0.0.5 loadcash.biz
O1 - Hosts: 127.0.0.5 www.loadcash.biz
O1 - Hosts: 127.0.0.5 txiframe.biz
O1 - Hosts: 127.0.0.5 www.txiframe.biz
O1 - Hosts: 127.0.0.5 procounter.biz
O1 - Hosts: 127.0.0.5 www.procounter.biz
O1 - Hosts: 127.0.0.5 advadmin.biz
O1 - Hosts: 127.0.0.5 www.advadmin.biz
O1 - Hosts: 127.0.0.5 trafficbest.net
O1 - Hosts: 127.0.0.5 www.trafficbest.net
O1 - Hosts: 127.0.0.5 besthvac.com
O1 - Hosts: 127.0.0.5 www.besthvac.com
O1 - Hosts: 127.0.0.5 traff4.com
O1 - Hosts: 127.0.0.5 www.traff4.com
O1 - Hosts: 127.0.0.5 ambush-script.com
O1 - Hosts: 127.0.0.5 www.ambush-script.com
O1 - Hosts: 127.0.0.5 beehappyy.biz
O1 - Hosts: 127.0.0.5 www.beehappyy.biz
O1 - Hosts: 127.0.0.5 tracktraff.cc
O1 - Hosts: 127.0.0.5 www.tracktraff.cc
O1 - Hosts: 127.0.0.5 allcount.net
O1 - Hosts: 127.0.0.5 www.allcount.net
O1 - Hosts: 127.0.0.5 onedayoffer.biz
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\…\Run: [EM_EXEC] C:\MOUSE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\…\Run: [DLPSP] “c:\program files\dell printers\Additional Color Laser Software\Status Monitor\DLPSP.EXE”
O4 - HKLM\…\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\…\Run: [Vade Retro Outlook Express] “C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe”
O4 - HKLM\…\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\…\Run: [SunServer] C:\PROGRAM FILES\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\sunserver.exe
O4 - HKLM\…\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\…\RunServices: [Hidserv] Hidserv.exe run
O4 - HKLM\…\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\…\RunServices: [DLPWD95] “c:\program files\dell printers\Additional Color Laser Software\Status Monitor\DLPWD95.EXE”
O4 - HKLM\…\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\…\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\…\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: WiFi Station.lnk = C:\Program Files\Hercules\WiFi Station\WifiStation.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://c:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Recherche &Google - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: &Traduire à partir de l’anglais - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmwordtrans.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Pages similaires - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Pages liées - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/it/Woo2/fr/chat/nPaxChat.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111…all/xscan53.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

j’en ai utilisé 2 autres mais ça change rien. Ils trouvents des trucs mais j’ai tjrs les mêmes fenêtres qui se lancent

:hello:

voici les mechants:

C:\WINDOWS\RUNDLL32.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111…all/xscan53.cab

plus tous les 01

tu peux le verifier ici:

http://hijackthis.de/index.php?langselect=french

:slight_smile:

bon ben apparemment tu es infesté de cochoneries !

va sur http://www.hijackthis.de et colle le log dans la fenêtre puis clique sur Evaluer

il faut que tu effaces toutes les lignes avec le point d’exclamation rouge (en retournant dans hijackthis, en cochant les entrées et en cliquant sur “fix”

j’ai tout viré ce qu’il y avait en rouge et les suspects mais ça change pas

As-tu fait un scan approfondi avec Microsoft Antispyware ?
http://www.clubic.com/telecharger-fiche136…ti-spyware.html

je peux pas, il tourne pas sur win98
sinon l’url des pages qui s’affichent se termine tjrs par yyy102.html
si ça peut te renseigner

donc tu as scanné qu’avec Spybot ?

essaye aussi avec ad-aware[/url] : [url=http://www.clubic.com/telecharger-fiche12797-ad-aware-se-personal.html]http://www.clubic.com/telecharger-fiche127…e-personal.html

sinon, je vois pas trop quoi faire d’autre … l’ultime solution étant de réinstaller ton windows et de bien te protéger contre ces saletés (firewall, antispyware résident…)

bon , je vais être obligé d’employer une ultime solution vu que ça continue trjs malgré tout ce que j’ai fait
merci qd même

instal la version d eval de nod32 et fait un scan ( desactive l autre av ) , je viens de nettoyer un pc avec ce cher norton d installé :grrr: , resultat 200 spy , trojans supprimés

:hello: pas sûr - d’après moi c’est Windows 98 son OS, donc c’est ok

par contre celui-là est coton :paf:
C:\WINDOWS\SYSTEM\AUTOUPDATEV2.EXE
Process File: autoupdatev2 or autoupdatev2.exe
Process Name: Trojan.Dropper-BM
http://www.liutilities.com/products/wintas…y/autoupdatev2/

Pour le fichier Host corrompu, on peut employer HSRemove 2.40 - lancer simplement le scan and remove
http://www.majorgeeks.com/download4286.html

à fixer

toute la série
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

scanner soit avec Nod comme dit par strudll ou Ewido (en mode sans échec) , ensuite fixer dans le log

il tour ne pas sur win98

ça change tjrs rien

télécharge la version d’éval de Spy Sweeper
http://www.webroot.com/fr/index.php

  • le remove hosts fonctionne ou pas ?

si non - tu le supprimes manuellement
C:\WINDOWS\Hosts <–clic/droit : Ouvrir avec > Bloc-notes >> Edition 'tout sélectionner" et "supprimer

  • Lance Spy Sweeper et scanne

  • Relance Hijack et fixe les lignes
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

  • Ouvre l’explorateur windows
    Ensuite manuellement recherche et supprime le fichier :
    C:\WINDOWS\SYSTEM\<–localisé ici - supprime—>AUTOUPDATEV2.EXE

si

http://u4.eset.com/eval/win/v2/ne98frst.exe

Tu n’as même pas Spybot S&D ?? - et alOrs ! :smiley: