[Résolu] Supprimer le malware System Doctor

Supprimer le malware System Doctor [Résolu] - Sécurité - Windows & Software

Marsh Posté le 27-08-2006 à 11:49:56    

Bonjour,  
Je constate que le PC de ma famille est infecté par Sytem Doctor et winantispyware, de fausses solutions de sécurité qui t'envahissent de pub en permanence.
J'ai tenté pas mal de trucs : Adaware, Spybot. Ils me suppriment des choses mais cela revient à la charge.
 
J'ai également fait un rapport Hijackthis :  
Son analyse en ligne me dit :  
 
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A7BC03E-C111-446B-BFE2-286037EBFFB8}: NameServer = 86.64.145.146 84.103.237.146    
Eventuellement méchant   Effacer cette inscription si le domaine n’appartient pas à l’ISP ou à un réseau qui vous est connu. Il en est de même pour les inscriptions du type 'SearchList'.
   Effacer si l’IP ou le domaine '86.64.145.146 84.103.237.146' ne vous est pas connu.  
 
 

Citation :

O17 - HKLM\System\CCS\Services\Tcpip\..\{ED7937A2-E426-45CE-9778-FF6B35657F09}: NameServer = 80.10.246.1    
Eventuellement méchant   Effacer cette inscription si le domaine n’appartient pas à l’ISP ou à un réseau qui vous est connu. Il en est de même pour les inscriptions du type 'SearchList'.
   Effacer si l’IP ou le domaine '80.10.246.1' ne vous est pas connu.  
 
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A7BC03E-C111-446B-BFE2-286037EBFFB8}: NameServer = 86.64.145.146 84.103.237.146    
Eventuellement méchant   Effacer cette inscription si le domaine n’appartient pas à l’ISP ou à un réseau qui vous est connu. Il en est de même pour les inscriptions du type 'SearchList'.
   Effacer si l’IP ou le domaine '86.64.145.146 84.103.237.146' ne vous est pas connu.


 
J'ai parcouru pas mal de forums pour essayer de trouver une solution à mon problème, mais cette saloperie réapparaît tout le temps.
Vous n'avez pas une chtite technique?
Comment puis-je savoir si ces IP ne sont pas indispensables à ma connexion internet (Modem 9TEl en USB)
 
Merci pour votre aide.


Message édité par hamelouse le 28-08-2006 à 09:29:20
Reply

Marsh Posté le 27-08-2006 à 11:49:56   

Reply

Marsh Posté le 27-08-2006 à 13:26:00    

salut
 
regarde ici pour les lignes O17 http://www.all-nettools.com/toolbox  
-> tu rentres l'IP dans la boite SmartWhois
 
pour les pubs, tu as fait un scan Blacklight ?

Reply

Marsh Posté le 27-08-2006 à 14:38:31    

Oui mais il ne m'a rien trouvé d'alarmant.
Je vais en refaire un,

Reply

Marsh Posté le 27-08-2006 à 15:02:10    

Black Light ne me trouve que ça :  
 
08/27/06 14:38:44 [Info]: BlackLight Engine 1.0.46 initialized
08/27/06 14:38:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/27/06 14:38:45 [Note]: 7019 4
08/27/06 14:38:45 [Note]: 7005 0
08/27/06 14:40:32 [Note]: 7006 0
08/27/06 14:40:32 [Note]: 7011 628
08/27/06 14:40:32 [Note]: 7026 0
08/27/06 14:40:32 [Note]: 7026 0
08/27/06 14:40:32 [Note]: 7024 3
08/27/06 14:40:32 [Info]: Hidden process: C:\windows\system32\lepdux.exe
08/27/06 14:40:32 [Note]: FSRAW library version 1.7.1019
08/27/06 14:48:29 [Info]: Hidden file: c:\WINDOWS\system32\lepdux.dat
08/27/06 14:48:29 [Note]: 10002 1
08/27/06 14:48:29 [Info]: Hidden file: C:\windows\system32\lepdux.exe
08/27/06 14:48:29 [Note]: 10002 1
08/27/06 14:48:29 [Info]: Hidden file: c:\WINDOWS\system32\lepdux_nav.dat
08/27/06 14:48:29 [Note]: 10002 1
08/27/06 14:48:29 [Info]: Hidden file: c:\WINDOWS\system32\lepdux_navps.dat
08/27/06 14:48:29 [Note]: 10002 1
08/27/06 14:48:46 [Info]: Hidden file: c:\WINDOWS\Prefetch\LEPDUX.EXE-3538EA96.pf
08/27/06 14:48:46 [Note]: 10002 1
 
C'est quoi?

Reply

Marsh Posté le 27-08-2006 à 15:03:31    

Pour les lignes avec les Ips, j'ai 2 ips qui correspondent à neuf, et une à wanadoo.
Est-ce normal?
Dois-je supprimer le processus wanadoo?

Reply

Marsh Posté le 27-08-2006 à 15:05:04    

Voila mon log Hijackthis en entier.
 

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 15:04:19, on 27/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\modem ADSL USB\modem ADSL USB\dslmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Suppression de System doctor\Black\blbeta.exe
C:\Suppression de System doctor\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A7BC03E-C111-446B-BFE2-286037EBFFB8}: NameServer = 84.103.237.145 86.64.145.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED7937A2-E426-45CE-9778-FF6B35657F09}: NameServer = 80.10.246.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A7BC03E-C111-446B-BFE2-286037EBFFB8}: NameServer = 84.103.237.145 86.64.145.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
 

Reply

Marsh Posté le 27-08-2006 à 15:14:54    

pour ta connexion, tu es passé de wanadoo à le9 ? en tout cas ces O17 ne sont pas hostiles
 
pour le reste, suis cette procédure http://perso.numericable.fr/~altsh [...] ureIA.html
 
si tu cales avec le fichier reg ou l'édition du rapport de blacklight tu peux demander confirmation

Reply

Marsh Posté le 27-08-2006 à 18:21:36    

Super.
Ca a l'air de marcher.
Je te remercie pour ce super lien.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed