virus ou spyware ?

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

virus ou spyware ?

Messagede chris » 05 Déc 2005, 09:38

bonjour,

connexté depuis peu sur internet, j'obtiens en visitant certains sites une fenêtre me demandant de saisir un mot de passe pour http://adserver.adtech.de, j'ai également une autre fenêtre qui m'informe qu'internet explorer à découvert une erreur et va fermer
pourtant j'utilise mozilla firefox

pourvez vous me dire si c'est des virus ou des spyware ? et comment me débarasser de ces pénibles messages ?

merci de votre aide.
chris
 
Messages: 7
Inscription: 05 Déc 2005, 09:23

Messagede nickW » 05 Déc 2005, 09:44

Bonjour et bienvenue,

Ces messages ne me disent rien qui vaille!

Tu appliques la Mini-manip
Puis tu envoies une copie de ton log (journal) dans le sous-forum "Logs HijackThis".

A bientôt,

PS:
Pour nous aider à t'aider, peux-tu décrire succinctement ta config (quel Windows, avec quel SP, quel pare-feu, quel antivirus, quels anti-quelquechose, ...).
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

virus ou spware ?

Messagede chris » 06 Déc 2005, 21:57

Bonjour,

je viens de commencer la manip et je bloque à l'étape 5 en arrivant sur le site http://assiste.com.free.fr/p/frameset/07_cwshredder.php
où dois je aller ensuite pour télécharger CWSHREDDER ?
par ailleurs le lien http://209.133.47.200/~merijn/index.html ne fonctionne pas

merci de votre aide

chris
chris
 
Messages: 7
Inscription: 05 Déc 2005, 09:23

Messagede jmm » 06 Déc 2005, 22:47

Hello,

CWShredder se télécharge chez son éditeur :

http://www.intermute.com/spysubtract/cw ... nload.html

Le bon lien pour Merijn est celui-ci :

http://www.spywareinfo.com/~merijn/downloads.html


Cheers,

Jmm.
Les ennuis, c'est comme le papier hygiénique : t'en tires un, il y en a dix qui viennent !. Woody Allen
Mes configs
Avatar de l’utilisateur
jmm
 
Messages: 193
Inscription: 24 Déc 2004, 09:19

Messagede Invité » 07 Déc 2005, 00:16

voilà j'ai terminer la mini manip (avec du mal)
et voici le copier coller du rapport hijackthis :Logfile of HijackThis v1.99.1
Scan saved at 00:10:00, on 07/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\Program Files\eDonkey2000\eDonkey2000.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\WINDOWS\tbvjti.exe
C:\Program Files\SurfAccuracy\SAcc.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Program Files\SpyBlocker Software\spyblocker.exe
C:\Program Files\Obex\Spjqi.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Temp\Rar$EX00.887\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Program Files\YourSiteBar\ysb.dll
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [eDonkey2000] "C:\Program Files\eDonkey2000\eDonkey2000.exe" -t
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [hMpt8xatx] C:\WINDOWS\tbvjti.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [SpyBlocker] C:\Program Files\SpyBlocker Software\spyblocker.exe
O4 - HKLM\..\Run: [h$vùõš/‚²‘ÆßfÏNb‰»C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\tbvjti.exe
O4 - HKLM\..\Run: [Xcurv] C:\Program Files\Obex\Spjqi.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /startmonitor
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSN Messenger\msgrapp.dll" (file missing)
O23 - Service: AVSync Manager (AvSynMgr) - Networks Associates Technologies, Inc. - C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
Invité
 

Messagede nickW » 07 Déc 2005, 11:36

Bonjour,

Remarque préliminaire:
Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.
Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT), d'y décompresser l'archive HijackThis.zip (ou HijackThis.exe s'il s'agit d'une archive auto-extractible), puis d'utiliser le fichier HijackThis.exe ainsi créé dans C:\Program Files\HJT.
Si tu le laisses tel qu'il est actuellement, dans un dossier temporaire, tout sera effacé dès l'instant où tu "feras le ménage" dans ces fichiers temporaires.


La version gratuite de eDonkey est livrée avec tout un tas de cochonneries diverses. Veux-tu le conserver?


Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 6).
Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".

Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php


Étape 2: Réglage antivirus
Régler l'antivirus au maximum (scan de la mémoire, des zones d'amorce, de tous les fichiers, des archives).
http://assiste.com.free.fr/p/comment/an ... aximum.php
McAfee: http://assiste.com.free.fr/p/internet_u ... usscan.php


Étape 3: Ccleaner
Télécharger et installer Ccleaner dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/ccdownload.asp

Lancer le programme.
Si nécessaire, aller dans Options et choisir le langage: Français.
*- Dans l'onglet Nettoyeur-Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers, Vieilles données du Preftech
*- Dans l'onglet Options-Avancé, décocher:
Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures

Cliquer sur Analyse
Dans l'onglet Options-Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 4: ewido security suite
Télécharger la version d'essai de ewido security suite depuis http://www.ewido.net/en/download/
L'installer. Important: Pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu".
Lancer ewido security suite. Cliquer sur mise à jour (après avoir saisi les paramètres du proxy si nécessaire).
Attendre la fin de cette mise à jour puis fermer le programme.


Étape 5: Restauration système
Désactiver la restauration système.
http://assiste.com.free.fr/p/comment/ac ... ration.php


Étape 6: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 7: Pas de processus de contrôle d'intégrité
Désactiver RegFreeze (s'il est actif)
Démarrer--->Exécuter
Taper taskmgr puis clic sur OK
Cliquer sur l'onglet Processus
Vérifier que la case devant Afficher les processus de tous les utilisateurs est cochée
Clic sur Nom de l'image pour avoir un classement alphabétique
Trouver regfreeze.exe et cliquer sur Terminer le processus


Étape 8: Désinstallation
Démarrer-->Paramètres-->Panneau de Configuration-->Ajout/Suppression de programmes
Rechercher et désinstaller (si trouvé) Active Alert
Rechercher et désinstaller (si trouvé) Internet Optimizer
Rechercher et désinstaller (si trouvé) SurfAccuracy


Étape 9: DLLs
Désenregistrer des DLLs, puis les renommer:

Démarrer--->Exécuter--->taper
regsvr32.exe /u C:\WINDOWS\nem220.dll
puis cliquer sur OK
Renommer le fichier C:\WINDOWS\nem220.dll en nem220.dll.non

Faire de même avec C:\WINDOWS\wsem303.dll
Faire de même avec C:\Program Files\SideFind\sidefind.dll
Faire de même avec C:\Program Files\SideFind\sfbho.dll
Faire de même avec C:\Program Files\YourSiteBar\ysb.dll
Faire de même avec C:\Program Files\ISTsvc\istbar.dll


Étape 10: HijackThis
Lancer HijackThis.
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items"
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix Checked:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll--->Ajouté par DyFuCA/Internet Optimizer
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll--->Ajouté par DyFuCA/MoneyTree
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll--->Ajouté par Adware.SideFind
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Program Files\YourSiteBar\ysb.dll--->Ajouté par Adware.YourSiteBar
O4 - HKLM\..\Run: [eDonkey2000] "C:\Program Files\eDonkey2000\eDonkey2000.exe" -t
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe--->Pourriciel ISTBar
O4 - HKLM\..\Run: [hMpt8xatx] C:\WINDOWS\tbvjti.exe--->Noms aléatoires, sûrement une cochonceté
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe--->Ajouté par Adware.SurfAccuracy
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"--->Ajouté par DyFuCA/Internet Optimizer
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe--->Pourriciel par Integrated Search Technologies
O4 - HKLM\..\Run: [h$vùõš/‚²‘ÆßfÏNb‰»C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\tbvjti.exe--->Pourriciel ISTBar
O4 - HKLM\..\Run: [Xcurv] C:\Program Files\Obex\Spjqi.exe--->Noms aléatoires, sûrement une cochonceté
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll--->Ajouté par Adware.SideFind


Étape 11: ewido security suite
Lancer ewido security suite et cliquer sur scanner puis sur scan complet du système.
Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).
A la fin du scan, Sauver le rapport (Fichier--->Enregistrer sous...).


Étape 12: Renommage
Note: certains éléments seront peut-être absents, les noter et les signaler en réponse

Renommer (clic droit sur le nom du dossier) les dossiers ci-dessous en ajoutant .non derrière leur nom:
C:\Program Files\SideFind en SideFind.non
C:\Program Files\YourSiteBar en YourSiteBar.non
C:\Program Files\ISTsvc en ISTsvc.non
C:\Program Files\SurfAccuracy en SurfAccuracy.non
C:\Program Files\Internet Optimizer en Optimizer.non
C:\Program Files\Power Scan en PowerScan.non
C:\Program Files\Obex en Obex.non


Renommer (clic droit sur le nom du fichier) le fichier ci-dessous en ajoutant .non derrière son extension:
C:\WINDOWS\tbvjti.exe en tbvjti.exe.non


Étape 13: Nettoyage
Exécuter l'antivirus, réglé au maximum.
Exécuter Ccleaner.


Étape 14: Redémarrage
Redémarrer en mode normal.
Si l'antivirus n'a pas pu être exécuté en mode sans échec, le lancer maintenant (réglé au maximum).
Générer un nouveau log HijackThis et l'envoyer en réponse avec le rapport d'ewido en précisant si le problème est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 24 invités