Votre question

Comment supprimer trojan et spyware?

Tags :
  • Spyware
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Décembre 2005 17:14:10

Bonjour,

J'ai attrapé hier un fichier espion qui s'apelle spysheriff, je l'ai supprimé avec smitfraudfix.cmd, apparement celui-ci ne me pose plus de problemes, cependant j'ai encore de multiples disfonctionnement avec windows et je pense que je possédes encore pas mal de mauvais bebetes dans mon diques dur et je ne sais plus vraiment quoi faire.

Merci de vos conseilles, ci joint un log fait avec hijackthis pour vous aider à m'orienter, meme si je rame un peu en informatique.

Logfile of HijackThis v1.99.1
Scan saved at 16:38:05, on 29/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\sysldr32.exe
C:\WINDOWS\sachostx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sachostc.exe
C:\WINDOWS\system32\sachosts.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\fannou\Bureau\Windows XP\Utilitaires\Range PC\Spybot\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\system32\search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: run=C:\WINDOWS\inet20099\winlogon.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [ClamWin] C:\Program Files\ClamWin\bin\ClamTray.exe --logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\system32\sywsvcs.exe

Autres pages sur : supprimer trojan spyware

29 Décembre 2005 17:58:05

Salut !!!

Avant de lancer un scan de ce genre, tente de passer ton HDD avec ton Antivirus et en mode sans echec pour plus de sécurité (c'est ce que je fais une fois par mois environ). Et puis, fait un passage d'AdAware SE.

Pense avant de mettre à jour les definitions de virus de ton antivirus et les definitions de spy et malwares de AdAware.

Ciao :-P
29 Décembre 2005 18:00:03

Salut,

Ton Log n'est pas complet il manque la fin.
Reposte ton log en entier :-D
Contenus similaires
29 Décembre 2005 18:10:29

Oui Bob dsl, voila le log, en entier cette fois.

Logfile of HijackThis v1.99.1
Scan saved at 18:07:23, on 29/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\sysldr32.exe
C:\WINDOWS\sachostx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sachostc.exe
C:\WINDOWS\system32\sachosts.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Program Files\Overnet\overnet.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\fannou\Bureau\Windows XP\Utilitaires\Range PC\Spybot\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\system32\search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: run=C:\WINDOWS\inet20099\winlogon.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [ClamWin] C:\Program Files\ClamWin\bin\ClamTray.exe --logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\system32\sywsvcs.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20099\winlogon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
29 Décembre 2005 21:22:41

Salut,

Désinfection avec SmitFraudFix
1) Redémarre l'ordinateur
2) Après les écritures du BIOS, appuie sur la touche F8 (si F8 ne marche pas, appuie sur F5) pour arriver à un menu avec des écritures blanches sur un fond noir.
3) Dans ce menu, utilises les flèches de ton clavier pour naviguer et choisir le mode sans échec. Valide avec la touche Entrée.
4) Le démarrage en mode sans échec est long généralement. Tu vas avoir des écritures blanches bizarres, ne t'inquiète pas c'est normal. Prend ton mal en patience pour que ça démarre.
5) Si au bout d'un trop long temps (genre 5 minutes), ça n'a toujours pas redémarré, dis le, je t'expliquerais comment faire sans redémarrer en mode sans échec.
[/quote]

4) Relance Smitfraudfix.cmd et choisis l'option 2. Répond oui à toutes les questions.
Sauvegarde le rapport pour pouvoir nous le donner.

5) Redémarre normalement et poste le 2ème rapport.
30 Décembre 2005 00:45:07

Salut OmaR_ShaRif !

Tiens tu es plus bénévole ici !!!

lllloooooollll

Bon sinon pour le soft que tu donne je l'ai vu ailleurs, mais j'avais pas pris le temps de "bookmarker" donc j'en ai profiter...

Je te remerci "gratieusement"... :-D :-D :-D
30 Décembre 2005 17:33:02

Merci Laurence d'arabie, j'avais dejas fait ça mais merci.

Sinon pour ceux que ça interresse une solution bien consiste à envoyer son log à cette adresse:

http://www.hijackthis.de/index.php

j'ai solutionné bcp de problemes grace à ça..voila..sinon bonne fete à tous.
31 Décembre 2005 16:01:46

Citation :
Tiens tu es plus bénévole ici !!!

Si si je suis bénévole, je tente juste de gagner de l'argent, tant qu'à faire, mais ça marche pas ! :-(

Sinon, il est déconseillé d'aller sur hijackthis.be, car il n'est pas mis à jour, et donc très dangereux, car il ne connait pas tout ;-)
1 Janvier 2006 16:55:26

Re !!!

Citation :
Sinon, il est déconseillé d'aller sur hijackthis.be, car il n'est pas mis à jour, et donc très dangereux, car il ne connait pas tout


Certes mais pas il n'est pas dangereux pour autant... non ??? Il va chopper une vermine en allant sur le site de l'editeur... Moi en tout cas je ne me sers que de cela et cela fonctionne plutot bien !!!

Ciao
2 Janvier 2006 00:12:17

Salut,

Es-tu sur que ce soit le site de l'éditeur ?
Non il ne peut pas chopper de vermine, mais il peut supprimer des choses qu'il ne faut pas forcément, et laisser des choses qu'il faudrait supprimer ;-)
3 Janvier 2006 00:36:26

Ho oui hijackthis.de est bien le site officiel...

Ciao
14 Janvier 2006 01:25:28

Hola todos !!!

j'ai le même problème que le précédent posteur.

J'ai bien suivi les instructions d'omar et voici le rapport qu'il me met.

Citation :
SmitFraudFix v2.15

Rapport fait à 1:14:00,76 le 14/01/2006
Executé à partir de C:\Documents and Settings\Tropheus\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Tropheus\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport


Le fait qu'il me mettait présent sur 2 lignes (dsl je sais plus lesquelles) avant l'éradication me certifie -t-il que je ma suis bien débarrasser de mon virus.
un certain loosky au pasage.

Merci de m'enlever tous doutes qt à cette Sal.... de truc.

Tropheus

PS un truc bizarre je suis protéger par un vieux kaspersky. Et mon anti-virus me mettait un fenêtre d'alerte je suppose lorque le virus se manifestait. Mais le plus étrange (du moins pour moi) c'est qu'il ne trouvait rien lorsque j'analysais mon disque... Avez-vous aussi des réponses à m'apporter dans ce cas?
Merci en tout cas

++

troph
15 Janvier 2006 22:45:08

Salut

Citation :
PS un truc bizarre je suis protéger par un vieux kaspersky. Et mon anti-virus me mettait un fenêtre d'alerte je suppose lorque le virus se manifestait. Mais le plus étrange (du moins pour moi) c'est qu'il ne trouvait rien lorsque j'analysais mon disque... Avez-vous aussi des réponses à m'apporter dans ce cas?


Je vois... c'est souvent le cas avec les fichiers residents en cache d'IE ou de ton navigateur prefere (les Temporary Inernet Files). Alors vide ce cache internet avec CCleaner par exemple ou EasyCleaner dispo sur IDN et vois ce que cela dit....

Sinon, il se peut des URL soient connues pour etre des nids a malwares... donc là il te suffira de les oté de ton cache des URLs recemment tapés sur ta barre de recherche de ton browser. :-P
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS