[résolu] comment retirer le spy winad avec HijackThis ?

comment retirer le spy winad avec HijackThis ? [résolu] - Sécurité - Windows & Software

Marsh Posté le 07-09-2004 à 19:42:01    

Bonjour,
 
J'ai chopper les spywares Winad.exe et WinClt.exe et j'arrive pas à m'en debarrasser.
J'ai fait un scan avec ad-aware (mis à jour), même apres reboot de la machine, mais il ne les trouve pas, j'ai ensuite utilisé spybot, il a trouvé d'autres cookies... mais toujours pas ceux qui m'interessent.
J'ai ensuite lancer HijackThis, voici le rapport ; si quelqu'un peut me dire comment virer ces spy grace à ce prog, çà serait cool :
 
 
 
Logfile of HijackThis v1.97.7
Scan saved at 19:26:01, on 07/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\emule 0.42e - pawcio 4.24b\emule.exe
C:\Program Files\Winad Client\WinClt.exe
C:\Program Files\Winad Client\Winad.exe
C:\emule 0.42e - pawcio 4.24b\Incoming\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [itouch] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKCU\..\Run: [speedfan] C:\Program Files\SpeedFan\speedfan.exe
O4 - Startup: itouch.lnk = C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/ga [...] blt1_x.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/ga [...] /ct1_x.cab
O16 - DPF: Yahoo! Go - http://download.games.yahoo.com/ga [...] /gt2_x.cab
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/ga [...] /rt0_x.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france.exe
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] c41a69ed6e
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub [...] tor/sw.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 4522376156
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {94F5DCB7-816C-4B94-A2C1-856C6E323C5B} - http://akamai.downloadv3.com/binar [...] _FR_XP.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft. [...] 7393287037
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://phobos.apple.com/detection/ITDetector.cab
 
 
 
Merci d'avance


Message édité par zornitologue le 08-09-2004 à 14:25:41
Reply

Marsh Posté le 07-09-2004 à 19:42:01   

Reply

Marsh Posté le 07-09-2004 à 19:50:56    


Control Alt Suppr
Onglet processus
Termine:
 
WinClt.exe  
Winad.exe  
 
-----------------
 
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe  
 
Lance HijackThis, coche cette ligne et clique "Fix checked".
 
puis:
 
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime:
C:\Program Files\Winad Client <-le dossier.

Reply

Marsh Posté le 07-09-2004 à 20:22:17    

J'essaie çà tout de suite, par contre impossible de virer les processus avec ctrl+alt+sup , ils se relancent instantanément.
Merci, je vous dirai quoi.

Reply

Marsh Posté le 07-09-2004 à 20:22:55    

en killant ça C:\emule 0.42e - pawcio 4.24b\emule.exe tu auras peut-être moins de saloperie :D

Reply

Marsh Posté le 07-09-2004 à 21:08:37    

J'ai jamais chopper de virus à part ceux qui ont touché la moitié de la planete, ou du moins jamais eu de problème pour les enlever mais là j'ai du mal.
 
J'ai donc essayer de virer les proc mais ils reviennent vraiment instantannément, du coup même si je vire la ligne avec HijackThis, elle reviens après.
Je dois être une vraie quiche, j'arrive pas à redemarrer en mode sans echec (F8 ne marche pas et je ne vois plus de ligne m'indiquant comment demarrer en mode sans echec) j'ai une a7n8x deluxe classique pourtant, y'a t-il un autre moyen de demarrer en mode sans echec ? (je n'est pas l'option ds le menu demarrer/arreter non plus)
Du coup je ne peux pas virer le repertoire winad client.
 
Une idée ?

Reply

Marsh Posté le 07-09-2004 à 21:10:51    

Reply

Marsh Posté le 07-09-2004 à 21:10:58    

y a pas un truc sous XP pour faire que le démarrage suivant se fasse en mode sans échec?
 
edit : oh ça va toi le rapide hein :o


Message édité par minipouss le 07-09-2004 à 21:11:26
Reply

Marsh Posté le 07-09-2004 à 21:11:36    


Si, je lui ai mis le lien.

Reply

Marsh Posté le 07-09-2004 à 21:28:45    

merci, j'essaie çà ce soir, je dois m'en aller (même si j'aime pas laisser un problème en plan)
 
Comptez sur moi pour vous dire ce qu'il en aie.

Reply

Marsh Posté le 08-09-2004 à 14:23:41    

J'ai enfin réussi à retirer ce dossier et ces exe grace au mode sans echec, je vais repeter comment j'ai fait (cf lien d'acrobaze ! merci) :
Lancer la commande executer du menu demarrer, taper msconfig, aller ds "BOOT.INI" et clicker sur SAFEBOOT, puis redemarrer. Pour revenir en mode normal il suffit de décocher safeboot.
 
Encore merci à tous.

Reply

Marsh Posté le 08-09-2004 à 14:23:41   

Reply

Marsh Posté le 08-09-2004 à 14:47:00    

de rien :jap:

Reply

Marsh Posté le 08-09-2004 à 14:57:03    

en passant tu peux virer ça aussi  
 
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france.exe  
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] c41a69ed6e


---------------
Des trucs - flickr - Instagram
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed