probleme spyaxe

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

probleme spyaxe

Messagede chris89 » 27 Déc 2005, 19:07

salut a tous alors voila j ai un gros probelme je suis infecter par spyaxe et je ne sais pas comment l oter j ai essayer en veine spybot speeweper etc .....

je vous post l analyse hidjackthis


Logfile of HijackThis v1.99.1
Scan saved at 19:07:09, on 27/12/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\SpyBlocker Software\spyblocker.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\Avant Browser\avant.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\-TUX-\LOCALS~1\Temp\Rar$EX00.266\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\System32\hp7B3A.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [razertra] C:\Program Files\Razer\razertra.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SpyBlocker] C:\Program Files\SpyBlocker Software\spyblocker.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Bloquer ce serveur... - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Bloquer cette publicité... - C:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Ouvrir tous les liens de la page... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Rechercher avec Google... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Surligner - C:\Program Files\Avant Browser\Highlight.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAD3B846-CB5D-4851-B445-29EA5FCE794D}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Merci d avance pour votre aide
chris89
 
Messages: 21
Inscription: 30 Déc 2004, 11:20

Messagede nickW » 27 Déc 2005, 23:57

Bonsoir,


Remarque préliminaire:
Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.
Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT), d'y décompresser l'archive HijackThis.zip (ou HijackThis.exe s'il s'agit d'une archive auto-extractible), puis d'utiliser le fichier HijackThis.exe ainsi créé dans C:\Program Files\HJT.
Si tu le laisses tel qu'il est actuellement, dans un dossier temporaire, tout sera effacé dès l'instant où tu "feras le ménage" dans ces fichiers temporaires.


Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 7).
Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".

Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php


Étape 2: Réglage antivirus
Régler l'antivirus au maximum (scan de la mémoire, des zones d'amorce, de tous les fichiers, des archives).
http://assiste.com.free.fr/p/comment/an ... aximum.php


Étape 3: Ccleaner
Télécharger et installer Ccleaner dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/ccdownload.asp

Lancer le programme.
Si nécessaire, aller dans Options et choisir le langage: Français.
*- Dans l'onglet Nettoyeur-Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers, Vieilles données du Preftech
*- Dans l'onglet Options-Avancé, décocher:
Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures

Cliquer sur Analyse
Dans l'onglet Options-Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 4: ewido security suite
Télécharger la version d'essai de ewido security suite depuis http://www.ewido.net/fr/download/
L'installer. Important: Pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu".
Lancer ewido security suite. Cliquer sur mise à jour (après avoir saisi les paramètres du proxy si nécessaire).
Attendre la fin de cette mise à jour puis fermer le programme.


Étape 5: SmitfraudFix, option 1
Télécharger SmitfraudFix depuis http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Décompresser la totalité de l'archive.
Double cliquer sur smitfraudfix.cmd (dans le dossier SmitfraudFix).
Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.
Enregistrer le fichier rapport.


Étape 6: Restauration système
Désactiver la restauration système.
http://assiste.com.free.fr/p/comment/ac ... ration.php


Étape 7: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 8: SmitfraudFix, option 2
Double cliquer sur smitfraudfix.cmd (dans le dossier SmitfraudFix).
Sélectionner 2 dans le menu pour supprimer les fichiers respondables de l'infection.
A la question: Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
Enregistrer le fichier rapport.


Étape 9: HijackThis
Lancer HijackThis.
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items"
Cocher la case située devant la ligne ci-dessous, puis cliquer sur Fix Checked:
(si des lignes sont absentes, les signaler en réponse).

O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\System32\hp7B3A.tmp


Étape 10: ewido security suite
Lancer ewido security suite et cliquer sur scanner puis sur scan complet du système.
Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).
A la fin du scan, Sauver le rapport (Fichier--->Enregistrer sous...).


Étape 11: Nettoyage
Exécuter l'antivirus, réglé au maximum.
Exécuter Spybot-S&D en supprimant tout ce qu'il indique en rouge.
Exécuter Ccleaner.


Étape 12: Redémarrage
Redémarrer en mode normal.
Si l'antivirus n'a pas pu être exécuté en mode sans échec, le lancer maintenant (réglé au maximum).
Générer un nouveau log HijackThis et l'envoyer en réponse avec le rapport d'ewido, plus les deux rapports de SmitfraudFix en précisant si le problème est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 33 invités

cron