Forum Clubic

Probleme spycheriff

Bonjour,

Je ne sais pas trop où poster alors je le met ici.
J’ai été contaminé par un spycheriff, en cherchant sur le net j’ai trouvé des solutions pour le supprimer, je pense que c’est fais, mais il me reste un doute…car en faisant le rapport de scan avec SmitFraudFix j’ai ceci :

Qu’en pensez vous ? les trucs dans le registre devrait être enlever non?

Merci

:hello:

tu as effectué les procédures smitfraudfix.cmd : 1 & smitfraudfix.cmd : 2 (en mode sans échec) déjà ?

tu dois faire un log Hijackthis 1.99.1 pour vérifier les processus lancés

Enregistrer/ créer 1 dossier dédié - ex : C: \HijackThis\Hijackthis.exe

  • Le lancer -> " Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée (onglet Main)>>Save log
  • Récupérer ce Log/texte avec le bloc notes.
  • Le copier/coller ici

Oui j’ai déjà fais en mode sans echec, et le rapport me dit que tout est ok, mais si je relance smitfraudfix sur mon compte, ça met ce que j’ai mis dans le premier post.

Voila

ça te dit quelque chose ces 2 lignes ?

O20 - Winlogon Notify: htproc - C:\WINDOWS\SYSTEM32\wancp32.dll
O20 - Winlogon Notify: wancp32 - C:\WINDOWS\SYSTEM32\wancp32.dll

Google = 0

http://virusscan.jotti.org/ <-- le site est saturé pour le moment

essaye par :
http://www.virustotal.com/flash/index_en.html

clique sur Parcourir, recherche dans system32 > wancp32.dll

patiente et attend le rapport d’analyse

peut être qu’il faudra auparavant afficher les dossiers cachés

Démarrer > Panneau de Configuration > Options des Dossiers >onglet Affichage > Dans la liste des “Paramètre avancés” sous la rubrique “Fichiers et dossiers cachés”
*[activer] “Afficher les fichiers et dossiers cachés”
*[désactiver] la case " Masquer les extensions des fichiers dont le type est connu"
*[désactiver] la case “Masquer les fichiers protégés du système d’exploitation”

tu n’oublieras pas de faire la manip inverse quand tu auras fini


O20 AppInit_DLLs and Winlogon Notify

je les trouve pas non plus sur CastleCops :neutre:

O20 - Winlogon Notify: htproc le processus seul est une variante du Trojan.Psw.Lineage
http://castlecops.com/o20et-h.html

http://graphic-forums.com/images/smilies/editsmily.gif

Télécharge Ewido
+ mise à jour de la base virale + envoie-le sur le Bureau
passe en mode sans échec (impératif) et lance le scan et sauvegarde le rapport (txt)

http://www.ewido.net/en/download/
A la fin du scan click/Save report et copier/coller ici

  • 1 nouveau log Hijack

ça devrait suffire

O20 - Winlogon Notify: htproc - C:\WINDOWS\SYSTEM32\wancp32.dll
O20 - Winlogon Notify: wancp32 - C:\WINDOWS\SYSTEM32\wancp32.dll

Je devais faire un truc avec ça ? les fixer ?

Analyse avec Virus total :

Apres 40 min d’analyse avec ewido j’ai ça lol :

Hijack pour finir :

On touche au but peut etre :wink:

:hello:

40 mn de scan avec Ewido pour 9 cookies ? :paf: il a dû se passer un truc pas net, c’est pas normal

les dll ne sont pas effacées - tu as plusieurs solutions

  • les rechercher et les supprimer manuellement - avec les dossiers cachés affichés + la restauration système désactivée et en mode sans échec (recacher les dossiers et réactiver la restauration après la désinfection surtout)

  • télécharger la version d’essai de Spy Sweeper et scanner ta machine (hors connexion)
    http://www.webroot.com/fr/index.php

  • télécharger la Pocket KillBox pour supprimer la dll récalcitrante
    KillBox
    http://www.bleepingcomputer.com/files/killbox.php

  • Ouvir le bloc-notes et copier/coller comme suit pour mémoire :
    C:\WINDOWS\SYSTEM32\wancp32.dll

  • Enregistrer/Nommer/>>raccourci sur le Bureau
    mode sans échec

  • Ouvir la KillBox

  • cocher "delete on reboot"

  • rechercher ou copier/coller le chemin de la dll à supprimer (enregistré dans le bloc-notes)

  • cliquer sur la croix rouge

  • répondre 2 fois yes (pour le delete et le reboot) (tu n’as qu’1 dll à supprimer, le screen est fait aussi pour plusieurs dll à détruire)

  • Fermer la Killbox

  • redémarrer en mode normal

screen KillBox

http://img103.imageshack.us/img103/2879/killboxscreen7yc.jpg

Relancer Hijack pour vérifier et bon courage

@+

salut

le pote a viré spyscheriff avec trend micro en ligne

ici http://www.trendmicro.com/spyware-scan/

installe l’active et lance le scan

attention selon ce qu’il te trouve, ne coche que si tu es sûr

il risque de te proposer aussi de virer les programmes p2p ou d’administration a distance si tu en as(vnc, pc anywhere, etc…)

dans le doute ne coche que spycheriff et verifie pour les autres d’abord.

il y a une option de reversibilité encas d’erreur

tu peux annuler l’action en relançant le logiciel (commande restore)

bon week-end