salut à tous j'ai un gros probleme
 
j'ai été sur un site et ça a télécharger un logiciel nommé spy sheriff et il me bloque l'ordinateur et me met ça en plein milieu du bureau
 

 
je peux tout faire sauf aller sur internet donc j'aimerais savoir si des personnes ont déja eu affaire à ce virus et comment le virer :-)  
 
j'ai essayer ad aware et spybot et cela n'a rien donner

Bonjour, télécharge HijackThis v1.99.1:
 
http://www.merijn.org/files/hijackthis.zip
 
Important: Installer Hijackthis correctement  
L’installer sous C:\Hijackthis par exemple (pas dans un fichier temp)
 
Scan/save log (rapport)/copier&coller le contenu du rapport ici
 
Tutorial pour l’installation et l'utilisation:
 
http://sitethemacs.free.fr/aide_en [...] ackthi.htm

je l'ai deja fait et ça ne m'affiche pas de truc mal donc comment faire

Poste le log pour vérification

ya quelques infos sur ce spyware ici: http://www.pcinpact.com/actu/news/ [...] gloire.htm
 
Sinon essaye de mettre a² free, microsoft antispyware ou la version d'essaie de spysweeper...
ça peut ptet marcher!

ouai c'est exactement ça et il parle d'une clé de registre qui se lance au demarrage comment la supprimer ????
 
pour le log le voici
 
 
Logfile of HijackThis v1.99.1
Scan saved at 16:23:36, on 05/06/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
 
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\MES DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'c:\program files\panda software\panda titanium antivirus 2005\pavlsp.dll' missing
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
 

Rien dans Hijackthis... Tu peux fixer ces deux lignes:
 
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm  
 
 

Re paramètre Hijackthis ainsi:
Open the Misc Tools section> Generate StartUp List log  
Colle le log ici.

le probleme c'est que c'est le pc a ma copine et donc elle ne peux pas me passer le rapport car elle n'arrive pas a se conecter a internet avec ce fameux spy sheriff
 
sinon conseiller moi des logiciel qu'elle pourrait utiliser pour virer ce spy sheriff ?

il y a différents logiciels pour virer les clés de registre qui se lancent au démarrage...
 
Spybot le fait mais ça ne marche pas vraiment avec les spywares vraiment récalcitrant! (Menu Outils/Démarrage Système)
 
Microsoft antispyware le fait et il est déja plus efficace (advanced tools/System explorers/Startup Programs)
 
Spysweeper est trés bon pour ça (mais il est payant) -> il m'a aidé de nombreuses fois à éradiquer les problèmes
 
Sinon ya EasyCleaner qui est gratuit et qui le fait... mais je sais pas si il est bien efficace  

spysweeper peut on l'obtenir en version limité pour essayer ????
 
si oui pouvez vous me donner un lien et pour info spybot j'ai essayer et il n'est pas parti

c'est pas un spyware, c'est juste un anti spywares mais celui ci affiche des messages d'avertissement en plein millieu du bureau, dans le but que les gens achetent la licence et éliminent le vilain spyware a l'origine du message
 
quand j'ai vu ca je me suis dit "hé ben , quelle bande de cons "

Le message est relativement simple à enlever.
 
Mais ce n'est pas le message qui bloque internet.
 
Télécharge ce petit programme.
Dézippe-le et lance-le. Il génère un log, un peu comme HijackThis.
Copie/colle-le ici.
 
Fais transiter le programme et le rapport par disquette ou clé USB.

Voila une version de démo de spysweeper: http://www.webroot.com/php/tryme.p [...] vcode=DT02

je n'ai pas compris comment le télécharger et apparament c'est paiyant sinon tu n'a qu'a me donner ton adresse msn et me l'envoyer ou me detailler comment faire ?
 
est payant ou pas ?
 
merci de votre aide ensemble nou=s y arriveront :-)

tout le monde
 
albledi   c'est bizarre on dirait que le log est fait en mode sans échec, il s'arrête aux lignes 016 ?
 
sur ce log on le voit ce *Rogue-antispware listé
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
http://www.commentcamarche.net/for [...] rus-trojan
 
*SpySheriff
http://www.spywarewarrior.com/rogue_anti-spyware.htm

oui je l'ai fait en mode sans echec il me semble et donc maintennat que faire pour le supprimer ???

j'ai regarder ton 2eme lien mais il sert a koi il mez marque le site de spysheriff mais pas comment le supprimer

Tu ne peux pas le faire en mode normal? ce serait mieux pour le localiser et que les pros puissent t'aider à le virer - ou tu t'inspires des localisations du lien + haut et tu fais les suppressions en mode sans échec - auparavant les fichiers cachés et protégés accessibles et la restauration système désactivée

Le 2ème lien de Spyware Warrior c'est juste pour info ; à mettre dans ses favoris et à consulter avant de se jeter sur le 1er anti-spys pourri

je viens de regarder le log et je ne vois pa spy sheriff c'est bizarre

regarde mieux (Le post du départ du Topic)
....
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe <---  
....

Si tu l'as téléchargé, tu dois forcèment le retrouver aussi dans cet *emplacement et pouvoir le supprimer
C:\Program Files<--- ichi!
et disais-je avant d'envoyer mon post comme une brute    
tu dois absolument faire le log en mode normal, regarde sur le post le nombre de lignes vérolées engendrées par ce binz

non je ne voit que ça en 04
 
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe  
 
j'arrive a le desinstaller via ajout suppression de prog mais a chaque redemarrage il est d enouveau la  
comment faire ?

Tu le fais exprès albledi? ton log est en mode sans échec, le programme n'est pas listé - je te mets le lien d'un post d'un log en mode normal où ce programme apparait et tu me reparles de ton log?  
 
1) tu dois faire un log Hijack. en mode normal
 
2) tu dois pour supprimer un fichier/faire
(je te copie/colle en vrac ma méthode des familles)
 
1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs
 
2) affiche les dossiers cachés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">>[!coche!] "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>>[!décoche!] la case "Masquer les fichiers protégés du système d'exploitation" *
 
3) passe en mode sans échec :
donne des impulsions rapides dès l'allumage de ton ordi sur la touche F8 ou F5
http://assiste.free.fr/p/comment/d [...] _echec.php
 
4) recherche et supprime
C:\ou/WINDOWSou/ProgramFiles/ou/SYSTEM32\---> supprime : [fichier infecté].exe  
 
5) redémarre en mode normal - vide ton cache internet (C:\Documents and Settings\NomUtilisateur\Local Settings\Temporary Internet Files  
/ou/options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)
 
6) réactive ta restauration système  
 
3) je ne pense pas que ça  suffise au regard du log (celui de l'autre forum, pas le tien hein! bien zzûr)

tu penses qèavec ça le famuex spysheriff sera supprimer ?

bis

non! : Log hijack en mode normal! et le programme conseillé par Acrobaze tu as tenté ?  

je vous l'envoie demain le log en mode normal car ma copine me lenvoi demain

 
Bis..et puis après...tu te débrouilles...
 
Ps : tu n'enlèveras pas ça avec HJT.

donc avec koi l'enlever tu penses que je vai pouvoir l'enlever avec ton programme?

Oui, je pense. Mais il faut voir les logs, parce que blablater , ça ne sert à rien.
 
- Un HijackThis log en mode normal
- et un SilentRunners log surtout.
 

j'arive pas a dl ton logiciel. Comment faire ?
 
dit moi ou cliquer sur la page de ton lien

http://www.silentrunners.org/Silent%20Runners.vbs
 
ou en zip:
 
http://www.silentrunners.org/Silent%20Runners.zip

Pour suivre...

ok je poste tt a l'heure les 2 logs

acrobaze je te poste les logs dans l'aprem ok?

acrobaze t la car je v poster la liste dici 10min as tu une adresse msn stp

 
Oui, poste-les. De toutes façons, maintenant ou plus tard, on va analyser ça.
 
( Pour MSN, en toute franchise, je ne donne pas mon adresse ).
 
Edit : personne ici n'est "magicien". Pour chaque log, on fait ce que l'on peut, en fonction de ce qui est visible et de ce que l'on connaît. Un échec est toujours possible.

ok donc voila le log de hijackthis en mode normal
 
Logfile of HijackThis v1.99.1
Scan saved at 18:27:44, on 08/06/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
 
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\MES DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O10 - Broken Internet access because of LSP provider 'c:\program files\panda software\panda titanium antivirus 2005\pavlsp.dll' missing
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
 

voici maintenan le log silent runner
 
"Silent Runners.vbs", revision 37, http://www.silentrunners.org/
Operating System: Windows Me (Millennium Edition)
Output limited to non-default values, except where indicated by "{++}"
 
 
Startup items buried in registry:
---------------------------------
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS]
"PCHealth" = "C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s" [MS]
"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]
"SystemTray" = "SysTray.Exe" [MS]
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++}
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"SchedulingAgent" = "mstask.exe" [MS]
"SSDPSRV" = "C:\WINDOWS\SYSTEM\ssdpsrv.exe" [MS]
"*StateMgr" = "C:\WINDOWS\System\Restore\StateMgr.exe" [MS]
 
HKLM\Software\Microsoft\Active Setup\Installed Components\
PerUser_CVT_Inis\(Default) = "Installation de Windows - Convertisseur FAT32"
                 \StubPath   = "rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_CVT_Inis 64 C:\WINDOWS\INF\applets1.inf" [MS]