Spyware alert ! Que dois-je faire ???
Spyware alert ! Que dois-je faire ??? - Sécurité - Windows & Software
Marsh Posté le 03-05-2004 à 14:07:32
http://forum.hardware.fr/forum2.ph [...] 5577&cat=4
---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Marsh Posté le 03-05-2004 à 21:39:26
Après avoir résolu le problème pendant quelques heures tout recommence comme avant !!!
Que faire ?
Marsh Posté le 03-05-2004 à 23:33:05
mettre à jour windows et IE via windows update 
---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Marsh Posté le 04-05-2004 à 17:52:37
Toutes les mises à jour dispo ont été installés...
Mais toujours le même problème !
Marsh Posté le 04-05-2004 à 18:01:29
en désactivant le service d'affichage des messages?
Message édité par kaltan1 le 04-05-2004 à 18:01:40
---------------
TAF n°1 - Kaltan's Watches - Mme Kaltan Cuisine Blog - BMW
Marsh Posté le 04-05-2004 à 18:09:42
outils d'administration
services / affichage des messages / passes le en "désactivé"
---------------
TAF n°1 - Kaltan's Watches - Mme Kaltan Cuisine Blog - BMW
Marsh Posté le 07-05-2004 à 11:35:49
Reply
Marsh Posté le 07-05-2004 à 11:46:45
oui...j'ai tout mis à jour.
Les erreurs trouvés sont corrigées et après 1 heure tranquille, tout recommence !
Marsh Posté le 07-05-2004 à 11:50:01
| matt27 a écrit : oui...j'ai tout mis à jour. |
mais apre scette heure tu fais quelquechose de particuleir? tu execute un logiciel ? tu install un truc? qu'es que tu fais?
Marsh Posté le 07-05-2004 à 12:19:23
rien du tout...
D'un seul coup une fenètre s'ouvre, "spyware alert"...
Marsh Posté le 07-05-2004 à 12:22:19
J'ai un pote que avait un probleme similaire et qui s'en ai sorti avec PestPatrol.
Sinon, as-tu essayé CWShredder (http://www.spywareinfo.com/~merijn/downloads.html) ?
Marsh Posté le 07-05-2004 à 12:28:13
J'ai essayé CWShredder,il trouve le spyware et m'en débarasse pendant une heure, après il revient...
Marsh Posté le 07-05-2004 à 12:41:20
Et l'observation des services + msconfig, ca donne quoi? Y a t-il un .exe louche qui demarre ?
Si tu en trouves un, peux-tu le supprimer manuellement (avec eventuellement un demarrage en mode sans echec - F8), pour eviter que le fichier soit locké ?
Marsh Posté le 07-05-2004 à 14:13:21
Voici le rapport de Hijackthis,dis moi si tu trouves quelque chose d'anormal:
Logfile of HijackThis v1.97.7
Scan saved at 14:11:48, on 07/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\Office10\EXCEL.EXE
C:\Program Files\ICQ\ICQ.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Documents and Settings\E-Matthieu\Mes documents\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hlh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hlh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hlh.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hlh.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hlh.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hlh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O2 - BHO: (no name) - {EE3637AD-3C50-444F-A42E-DB50D55DF8F6} - C:\WINDOWS\System32\hlh.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QD FastAndSafe] nwiz.exe /install
O4 - HKLM\..\Run: [POINTER] C:\Program Files\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Program Files\ICQ\NDetect.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\DaemonTools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Copernic Agent (HKLM)
O9 - Extra button: MoneySide (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/248400 [...] 601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] AB?37950.2
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DF15532-79A3-4145-9833-B300C9619D5C}: NameServer = 130.244.127.161 130.244.127.169
Marsh Posté le 07-05-2004 à 14:39:39
A partir de la liste, je ne vois rien de louche..
As-tu le nom du spyware detecte ?
(voir aussi http://www.pestscan.com/ , depuis le site de PestPatrol - http://www.pestpatrol.com/).
Marsh Posté le 07-05-2004 à 14:56:29
En recherchant sur le forum:
http://www.spywareinfo.com/forums/ [...] opic=43492
http://www.wilderssecurity.com/showthread.php?p=165285
(et la reponse precisant qu'il faut que IE soit ferme quand tu tourne CWShredder).
Sinon, a l'occas, pense a utiliser un autre navigateur qu'IE (Mozilla Firefox) ;-)
Marsh Posté le 07-05-2004 à 15:18:28
| Emanuel a écrit : En recherchant sur le forum: |
enfin ça c'est la réponse que j'avais deja donné (cf + haut)
---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Marsh Posté le 07-05-2004 à 16:21:37
Merci de votre aide !
J'ai enfin pu ouvrir la page 
//www.spywareinfo.com/forums/index.php?showtopic=43492
J'ai téléchargé et installé reglite mais j'avoue ne pas tout comprendre quand à la suite des explications en anglais.
Pouvez me traduire la marche à suivre ? (j'abuse ?)
MERCI !
Marsh Posté le 07-05-2004 à 16:43:20
j'ai eu About:blank pendant 1 journée ensuite j'ai eu des pages en "outhost.info" et avant outhost truc des pages styles jikgofhrs.outhost.info
j'ai viré le fichier avec ad-aware mais il ne veux pas s'enlever de la page par défaut comment faire?
Message édité par Lights le 07-05-2004 à 16:44:24
Marsh Posté le 08-05-2004 à 10:26:10
En appliquant à la lettre la procédure suivante je m'en suis débarrassé !!!
-Download reglite
-install "Reglite" and run it, enter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs into the address bar.
-Double click on AppInit_DLLs to open a "Data Editor" properties window, if the bottom textfield named "Value" contains a .dll file; then this is the hidden file you need to get rid off.
You should not be able to delete this file if you try to clear the value field, IMPORTANT: take note of the path and name of the .dll file. Write it down so you do not forget it.
-Rename the Folder "Windows" (This is a purple "highlighted" folder in the left hand window) to NOTWINDOWS. Simply click on the folder, click on "Edit" in the menu bar and select "Rename".
Click AppInit_DLLs again and clear the value containing the .dll and ok it. This should have removed the .dll
-Rename the windows folder back to its original name "Windows".
-Run SpyBot, Ad-Aware and CWShredder
Next step will be to remove this dll file so make sure you have it noted down.
-Download KillBox
-Unzip and start the application
-Paste in the dir <path and name of dll as found in the appinit value box> i.e C:\Windows\System32\nameofdll.dll
Menu Select Action -> Delete on Reboot
Select File -> Add file <It should add the path automatically>
<Same Window> Select Action -> Process and Reboot
Il vaut mieux comprendre l'anglais mais après des heures de boulot c'est LA solution.
Merci à tout ceux qui m'ont aider...
Sujets relatifs:
- Spyware bizarre... help :(
- Newdotnet .......spyware ?
- [ SPYWARE ] Claria remplace Gator
- spyware fast dead 2
- Detection d'intrusion, qu'est ce que je dois faire?
- Put1 de Spyware !! Help !
- cookies... je dois m'identifier à chaque fois
- Sondage ; spyware, adware, cookies...
- Spyware 2020search recalcitrant !
Marsh Posté le 03-05-2004 à 14:06:34
Bonjour à tous,
Voici le message que je recois dès que j'ouvre internet explorer, une fenêtre style pop-up s'ouvre indiquant "Spyware alert".
De plus, impossible maintenant de définir une page de demarrage,après chaque réouverture, il m'envoit systématiquent sur about:blank
J'ai utilisé spybot et ad-aware mais sans résultat...
Que faire ?
Merci.