Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2131 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Je suis infecté par des spywares, pouvez-vous m'aider?

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Je suis infecté par des spywares, pouvez-vous m'aider?

n°1657071
liondor
Posté le 26-07-2004 à 23:10:33  profilanswer
 

Bonjour tout le monde je suis nouveau ici,
 
je suis infecté par des spywares notamment un dérivé de Coolwebsearch.
 
Voici le logfile de hijackthis:
 

Citation :

Logfile of HijackThis v1.98.0
Scan saved at 22:59:41, on 26/07/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\MESSENGER PLUS! 3\MSGPLUS.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAM FILES\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\NOKIA\NCLTOOLS\NCLTRAY.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
D:\AD-AWARE 6 PRO\AD-WATCH.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\MSTINIT.EXE
C:\PROGRAM FILES\IOMEGA\TOOLS\IOWATCH.EXE
C:\PROGRAM FILES\IOMEGA\TOOLS\IMGICON.EXE
C:\PROGRAM FILES\SONY CORPORATION\IMAGE TRANSFER\SONYTRAY.EXE
C:\PROGRAM FILES\SCANNERU\AM32.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\NOKIA\SERVICES\SERVICELAYER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\WINAMP\WINAMP.EXE
C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
D:\HJT\HIJACKTHIS.EXE
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Program Files\Fichiers communs\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Ad-aware] D:\AD-AWARE 6 PRO\AD-AWARE.EXE +c
O4 - HKLM\..\Run: [Ad-watch] D:\AD-AWARE 6 PRO\Ad-watch.exe
O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: SnagIt 7.lnk = C:\Program Files\TechSmith\SnagIt 7\SnagIt32.exe
O4 - Startup: Iomega Watch.lnk = C:\Program Files\Iomega\Tools\IOWATCH.EXE
O4 - Startup: Options de démarrage Iomega.lnk = C:\Program Files\Iomega\Tools\IMGSTART.EXE
O4 - Startup: Iomega Disk Icons.lnk = C:\Program Files\Iomega\Tools\IMGICON.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Image Transfer.lnk = C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Startup: Action Manager 32.lnk = C:\Program Files\ScannerU\AM32.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAM FILES\AIM95\AIM.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
 


 
J'ai beau cocher les cases SearchAssistant et Customize search ses derniers reviennent et créent des clés dans ma base de registre.
 
Voici ce que m'affiche ADWatch pour sa part:
 

Citation :

Ad-watch Logfile, exported on 26/07/04
 
 
===============================================
26/07/04 22:32:54 - Registry modification detected
Root:HKEY_CURRENT_USER
Key:Software\Microsoft\Internet Explorer\Main
Value:Start Page
Data:http://www.wanadoo.fr/
New Data:about:blank
 
Possible browser hijack attempt (Blocked)
 
===============================================
26/07/04 22:32:54 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Microsoft\Internet Explorer\Main
Value:Search Bar
Data:
New Data:file://C:\WINDOWS\TEMP\sp.html
 
Possible browser hijack attempt (Blocked)


 
En ce moment ma page about:blank est infectée par une parge "search for...", du spyware coolwebsearch.
 
Voilà si vous avez quelques idées pour me débarasser de ses cochoneries. Merci d'avance  :hello:  
 
Liondor

mood
Publicité
Posté le 26-07-2004 à 23:10:33  profilanswer
 

n°1657099
Trojan
Alea Jacta Est
Posté le 26-07-2004 à 23:46:14  profilanswer
 

Passe un coup de cet utilitaire:
http://www.trojaner-info.de/cgi-bi [...] le=sphjfix
 
Redemarre.

n°1657100
Moundir
Posté le 26-07-2004 à 23:48:21  profilanswer
 

prends cwshredder !

n°1657176
tangui
Posté le 27-07-2004 à 01:47:34  profilanswer
 

ou adaware, ou spybot... enfin demerde toi quoi :-)

n°1657198
GTMistral
Posté le 27-07-2004 à 03:07:35  profilanswer
 

Ad-Aware fait rien contre CoolWebSearch. J'ai eu CWS.Searchx y a quelques jours.
 
Liondor, il y a fort à parier que tu sois pris avec le même que j'ai eu pendant je-sais-pas-combien-de-temps. Il modifiait ma page d'acceuil vers about:blank (normal), mais fait apparaitre une page de recherche à la place et des pop-up disant qu'on est infecté par des spywares.
 
Passe un coup de CWShredder. Une fois qu'il l'a identifié, démarre Ad-Watch (j'ai vu que tu l'avais dans tes process :wahoo:) pour éviter qu'il revienne et remodifiant ton registre (fais le démarrer automatiquement aussi au démarage pour être sûr, autrement il risque de revenir quand même). Une fois fait et identifier par CWShredder, regarde ces sites. Ils m'ont aidé en m'en débarassé pour de bon!
 


Message édité par GTMistral le 27-07-2004 à 03:10:30
n°1657208
GTMistral
Posté le 27-07-2004 à 06:47:19  profilanswer
 

Trojan a écrit :

Passe un coup de cet utilitaire:
http://www.trojaner-info.de/cgi-bi [...] le=sphjfix
 
Redemarre.


Toi t'as p't-être réglé mon problème sans le savoir... Norton réagis plus à D3D.dll... Il l'a peut-être enlevé..? :jap:
 
EDIT : Mille mercis! :love: Après recherche du fichier en question et des clés que j'avais ciblé, y a plus rien! :D


Message édité par GTMistral le 27-07-2004 à 06:56:17
n°1657266
Trojan
Alea Jacta Est
Posté le 27-07-2004 à 09:15:14  profilanswer
 

GTMistral a écrit :

Toi t'as p't-être réglé mon problème sans le savoir... Norton réagis plus à D3D.dll... Il l'a peut-être enlevé..? :jap:
 
EDIT : Mille mercis! :love: Après recherche du fichier en question et des clés que j'avais ciblé, y a plus rien! :D


 
 
Content pour toi :)
Mais pourquoi "sans le savoir"? Si je te l'ai proposé ce n'est pas pour rien ;)

n°1657271
Pims
Posté le 27-07-2004 à 09:19:16  profilanswer
 

http://forum.hardware.fr/icones/flag0.gif


---------------
Life is like a box of chocolate you never know what you gonna get.
n°1657280
GTMistral
Posté le 27-07-2004 à 09:31:40  profilanswer
 

Trojan a écrit :

Mais pourquoi "sans le savoir"? Si je te l'ai proposé ce n'est pas pour rien ;)


Bah on parlait de CoolWebSearch, pas de D3D.dll! ;) J'ai essayé comme ça, par curiosité (je suis tellement infecté en ce moment qu'il aurait pu me trouver quelque chose :pt1cable:) et en revenant, oh surprise, il voit plus le virus. Cool!
Une chance que je surf sur les autres topics! :p

n°1658347
Trojan
Alea Jacta Est
Posté le 27-07-2004 à 20:35:03  profilanswer
 

Re,
 
C ca qui m'a permis de penser pouvoir résoudre ton problème avec l'utilitaire:
 


"26/07/04 22:32:54 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Microsoft\Internet Explorer\Main
Value:Search Bar
Data:
New Data:file://C:\WINDOWS\TEMP\sp.html
 
Possible browser hijack attempt (Blocked)"

mood
Publicité
Posté le 27-07-2004 à 20:35:03  profilanswer
 

n°1658356
GTMistral
Posté le 27-07-2004 à 20:42:36  profilanswer
 

sp.html?
 
C'est exactement ce que j'ai eu... La bête s'appelle "CWS.Searchx". Heureusement, il est facile à éradiquer celui-là par rapport à certain qui sont codé avec des méthodes d'ouvertures inhabituelles et qui sont en fin de compte impossibles à éradiquer.
 
À faire...
Scan/Fix de CWShredder
Démarrer Ad-Watch
Backup du registre en cas d'erreur de manipulation
Effacer les fichiers qui y sont lié (sp.html, gfmnaaa.dll)
Effacer les clés dans la registre (SearchBar, Search, SearchAssistant peut-être aussi)
 


EDIT : Image de la bête


Message édité par GTMistral le 28-07-2004 à 01:35:30

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Je suis infecté par des spywares, pouvez-vous m'aider?

 

Sujets relatifs
ou trouver tuto pour windows CE ou alors si quelqu'un peu m'aider?Est ce que l'élite maitrisant ----> Excel <---- peut me m'aider ???
Cherche logiciel pour empecher d'avoir des spywares ?[Recuperation d'ordi] Les anciens, venez m'aider (MS-Dos and Co)
prob de spywares, mon pc ramMa mémoire virtuelle fiche le camp ! Pouvez-vous m'aider svp ?
Vous pouvez me rappeler le nom d'un logiciel qui fait ça :"NTLDR manquante" merci de m'aider d'urgence!
Virus non identifié du type lovesan blaster/Sasser!!! aider moi 
Plus de sujets relatifs à : Je suis infecté par des spywares, pouvez-vous m'aider?

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.039 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR