Probleme avec win antispyware [resolu]

bonjour

je ne sais pas si je suis ds le bon topic ,mais voilà j’ai un petit probleme depuis quelques semaines.
j’ai un message qui appararait quasi à chaque foisque j’ouvre une page me disant qu’il y a un un logiciel espion qui a penetre ds mon systeme et que ça peut ralentir ma navigation .apres apparait le site de win antispyware pour l’installer ,ce que je n’ai pas fait .
maintenant à chaque ouverture de pages j’ai une pub qui apparait (casino ,jeux videox ,porno…) ,c’est super agreable
j’ai fais tourner ewido mais ça n’a rien change

est ce que qqun pourrait m’aider à regler ce probleme ,ce serait sympa :jap:

merci d’avance

Tu as un ou plusieurs spywares sur ton ordi

=> Installe Spybot pour guérir, et Firefox pour prévenir.

regarde le long post de captain_choc en milieu de page

à titre d’info : pour faire une recherche sur le forum de Clubic via Google :

winantispyware site:http://www.clubic.com/forum

merci pour vos reponses

n’etant pas une pro ,je vais peut etre paraitre bete en recapitulant ce que je dois faire :sweet: :
donc je dois installer hijackthis ,trouver les memes fichiers defectueux que chez captain choc et les supprimer.

c’est ça ?

B’jour, met-le rapport Hijack ici, je le regarderais

j’ai fait tourner hijackthis et je l’ai mais sur un site qui evalue le log , j’ai supprime ce qu’il considerait comme dangereux mais ça reviens qd meme .
alors voici le rapport du 2nd scan :
Logfile of HijackThis v1.99.1
Scan saved at 12:42:25, on 22/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\hphmon05.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\FlashGet\flashget.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Propriétaire\Mes documents\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t…lion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t…lion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t…lion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t…lion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t…lion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t…lion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t…lion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.free.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\…\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\…\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\…\Run: [HP Component Manager] “C:\Program Files\HP\hpcoretech\hpcmpmgr.exe”
O4 - HKLM\…\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\…\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\…\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\…\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\…\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\…\Run: [VTTimer] VTTimer.exe
O4 - HKLM\…\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\…\Run: [UpdateManager] “c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe” /r
O4 - HKLM\…\Run: [F-Secure Manager] “C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE” /splash
O4 - HKLM\…\Run: [F-Secure TNB] “C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe” /CHECKALL
O4 - HKLM\…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [Pando] C:\Program Files\Pando Networks\Pando\Pando.exe /Automation
O4 - HKLM\…\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKCU\…\Run: [BackupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} - http://scripts.dlv4.com/binaries/IA/svcia32_FR_XP.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: Service de sécurité matérielle (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

absolument rien dans ce rapport, c’est clean

Télécharge la version d’essai de spy sweeper <-- scan en mode sans échec
http://www.webroot.com/fr/products/spysweeper?rc=5184

idem reste sous ce mode et lance un scan complet avec Ewido, fait la mise à jour auparavant (onglet : updates)

et CCleaner pour faire ensuite un nettoyage approndi (y compris le balayage du registre - onglet : Erreurs) <-- mode normal
http://www.clubic.com/telecharger-fiche144…ap-cleaner.html

mode sans échec

• prend l’option “boot.ini/safeboot” si tu n’es pas trop familiarisé avec cette procédure
  http://service1.symantec.com/SUPPORT/INTER…020325143456924

@+

J’ai eu exactement le meme probleme, je l’ai resolu. Je ne sais pas si c’est le meme virus, mais je peux te donner la demarche à suivre :
Comme dit plus haut, installe spybot :love: fais la mise à jour de la base virale, clique sur vaccination. Fait un scan, supprime les infections, relance un scan et regarde si les infections reapparaissent. Si c’est le cas, donne moi l’infection (cles de registre) qui reapparait.
Voila pour la fin de la premiere etape…

ça y est tout est parti grace à spybot :bounce: :bounce: (apres 3-4 scan +correction …)

merci torque_roll de m’avoir explique le deroulement :jap: .
par contre qu’entends -tu par fin de la 1ere etape ?y -a t’il d’autres manip’ à faire ? :??:

En fait, sur mon probleme, spybot etait le seul antispyware à me decouvrir une clé infectée, il arrivait à la supprimer mais elle revenait toute seule (apres m’etre servit de internet explorer), c’est pour ça que je t’ai demandé de refaire un 2eme scan, pour confirmer que ton infection etait la meme que moi.
Mais ça n’a pas l’air d’etre le cas, donc si tu n’as plus de probleme, il y a plus d’autre etape (autrement je t’aurai proposer l’utilisation d’un antirootkit comme moi)

bye

bon et bien au bout de 24 h le probleme est revenu ,j’ai beau faire tourner spybot mais il trouve toujours quelque chose .

Torque _roll ,peux tu me dire comment tu as fais pour regler ce probleme definitivement ?
sinon qqun aurait une solution ?

merci d’avance

avec Hitmanpro (dont Spybot est un élément) ça t’aurait bien dépanné

c’est une suite d’anti-spywares qui sont lancés à la suite, donc si l’un n’arrive pas à nettoyer complètement le suivant termine le travail. Il y a comme ça cinq ou six utilitaires qui sont lancés à la suite sans que tu ne doives intervernir, tout se fait automatiquement :super:

merci sini ,je vais tenter le coup .
par contre j’espere qu’il est facile à utliser ,vu que je ne suis pas tres douee :sweet:

très simple, surtout il ne faut plus y toucher dès qu’il est lancé car ça risque de l’interrompre (coïtus interruptus, c’est moche :paf: :lol: )

dans les paramètres faut cocher que tu acceptes les conditions (ça évite de devoir confirmer l’installation de chaques modules) ensuite mieux vaut désactiver

1. spy sweeper
2. Ewido
3. PC tools doctor

et les antivirus si tu en as déjà un

les trois premiers car ce sont de shareware et ils sont chiants lorsque la période d’essais a expiré

l’anti-virus parcequ’il n’est pas conseillé d’installer plus d’un anti-virus

je viens de supprimer ewido

concernant spy sweeper :dois -je l’installer ou non ?

desactiver mon antivirus ,signifie t-il qu’il faut que je le supprime ?
sinon qu’est ce qui peut arriver si je le laisse tel quel ?

je m’exprime mal

il ne faut pas cocher
Spy Sweeper, Ewido et PC tools, ne pas installer ces trois car ils sont disponibles qu’en version demo (fonctionels mais limité en temps)

ton anti-virus de tous les jours, il faut le laisser mais décocher tous ceux dans Hitmanpro afin que ton antivirus normal ne soit pas “destabilisé” par celui d’Hitman

Oups, j’avais un presentiment !! Desolé de repondre tardivement, donc, c’est la meme chose que j’ai eu. Le nom de ton virus est certainement le ControlMagicAgent
Une chose à faire :
fais un scan en ligne de F-secure, il peut detruire les rootkits :
http://support.f-secure.com/fra/home/ols.shtml

A l’epoque ou j’ai supprimé le rootkit (le virus) c’etait un petit programme de f-secure qui m’avait permis de deloger l’infection, c’etait une version d’essai jusqu’au 1 septembre…
Enfin bref, avant de lançer le scan en ligne, je te conseille de desactiver la restauration du systeme (clique droit sur le poste de travail, proprietes > onglet restauration du systeme > et coche la case : desactiver la restauration…)

C’est juste pour information, j’avais essayé la plupart des programmes de Hitmanpro, aucun n’avait reussi a trouver ou a eradiquer ce virus. Enfin bon, qui ne tente rien n’a rien.

j’ai lance ce logiciel en debut d’apre midi ,et en a detecte 45 (donc 43 spy.),au bout de 10 minutes de “nettoyage” le compteur c’est bloque à 3 fichiers traites sur les 46 .je l’ai laisse tel quel pdt 3 h pensant que ça traine mais ,non

j’ai relance un nouveau scan et là il n’en detecte que 11 et là encore il bloque à 3 fichiers traites.

est ce normal ?
sinon que faire ?

:ouch: 45 !!
ce virus est conçu pour en telecharger d’autres.
Il est possible qu’il bloque sur certains fichiers car ces derniers peuvent être verrouiller
Vois-tu le nom du fichier ou il bloque ?
Sinon essaie un autre scan en ligne : http://safety.live.com/site/fr-FR/default.htm.
ou encore : http://www.bitdefender.fr/bd/site/page.php#
http://webscanner.kaspersky.fr/

Ensuite repasse celui de F-secure.
Dis-moi, ce qu’il en est.