Je suis infecté par des spywares, pouvez-vous m'aider?
Je suis infecté par des spywares, pouvez-vous m'aider? - Sécurité - Windows & Software
Marsh Posté le 26-07-2004 à 23:46:14
Passe un coup de cet utilitaire:
http://www.trojaner-info.de/cgi-bi [...] le=sphjfix
Redemarre.
Marsh Posté le 27-07-2004 à 03:07:35
Ad-Aware fait rien contre CoolWebSearch. J'ai eu CWS.Searchx y a quelques jours.
Liondor, il y a fort à parier que tu sois pris avec le même que j'ai eu pendant je-sais-pas-combien-de-temps. Il modifiait ma page d'acceuil vers about:blank (normal), mais fait apparaitre une page de recherche à la place et des pop-up disant qu'on est infecté par des spywares.
Passe un coup de CWShredder. Une fois qu'il l'a identifié, démarre Ad-Watch (j'ai vu que tu l'avais dans tes process 
) pour éviter qu'il revienne et remodifiant ton registre (fais le démarrer automatiquement aussi au démarage pour être sûr, autrement il risque de revenir quand même). Une fois fait et identifier par CWShredder, regarde ces sites. Ils m'ont aidé en m'en débarassé pour de bon!
- http://assiste.free.fr/p/internet_ [...] search.php
- http://forums.techguy.org/showpost [...] ostcount=6 (gfmnaaa.dll)
- http://www.russelltexas.com/malware/homeoldsp.htm
Message édité par GTMistral le 27-07-2004 à 03:10:30
Marsh Posté le 27-07-2004 à 06:47:19
| Trojan a écrit : Passe un coup de cet utilitaire: |
Toi t'as p't-être réglé mon problème sans le savoir... Norton réagis plus à D3D.dll... Il l'a peut-être enlevé..? 
EDIT : Mille mercis! 
Après recherche du fichier en question et des clés que j'avais ciblé, y a plus rien! 
Message édité par GTMistral le 27-07-2004 à 06:56:17
Marsh Posté le 27-07-2004 à 09:15:14
| GTMistral a écrit : Toi t'as p't-être réglé mon problème sans le savoir... Norton réagis plus à D3D.dll... Il l'a peut-être enlevé..? |
Content pour toi 
Mais pourquoi "sans le savoir"? Si je te l'ai proposé ce n'est pas pour rien 
Marsh Posté le 27-07-2004 à 09:19:16
---------------
Life is like a box of chocolate you never know what you gonna get.
Marsh Posté le 27-07-2004 à 09:31:40
| Trojan a écrit : Mais pourquoi "sans le savoir"? Si je te l'ai proposé ce n'est pas pour rien |
Bah on parlait de CoolWebSearch, pas de D3D.dll! J'ai essayé comme ça, par curiosité (je suis tellement infecté en ce moment qu'il aurait pu me trouver quelque chose 
) et en revenant, oh surprise, il voit plus le virus. Cool!
Une chance que je surf sur les autres topics! 
Marsh Posté le 27-07-2004 à 20:35:03
Re,
C ca qui m'a permis de penser pouvoir résoudre ton problème avec l'utilitaire:
|
Marsh Posté le 27-07-2004 à 20:42:36
sp.html?
C'est exactement ce que j'ai eu... La bête s'appelle "CWS.Searchx". Heureusement, il est facile à éradiquer celui-là par rapport à certain qui sont codé avec des méthodes d'ouvertures inhabituelles et qui sont en fin de compte impossibles à éradiquer.
À faire...
Scan/Fix de CWShredder
Démarrer Ad-Watch
Backup du registre en cas d'erreur de manipulation
Effacer les fichiers qui y sont lié (sp.html, gfmnaaa.dll)
Effacer les clés dans la registre (SearchBar, Search, SearchAssistant peut-être aussi)
- http://assiste.free.fr/p/internet_ [...] search.php
- http://forums.techguy.org/showpost [...] ostcount=6 (gfmnaaa.dll)
- http://www.russelltexas.com/malware/homeoldsp.htm
EDIT : Image de la bête
Message édité par GTMistral le 28-07-2004 à 01:35:30
Sujets relatifs:
- ou trouver tuto pour windows CE ou alors si quelqu'un peu m'aider?
- Est ce que l'élite maitrisant ----> Excel <---- peut me m'aider ???
- Cherche logiciel pour empecher d'avoir des spywares ?
- [Recuperation d'ordi] Les anciens, venez m'aider (MS-Dos and Co)
- prob de spywares, mon pc ram
- Ma mémoire virtuelle fiche le camp ! Pouvez-vous m'aider svp ?
- Vous pouvez me rappeler le nom d'un logiciel qui fait ça :
- "NTLDR manquante" merci de m'aider d'urgence!
- Virus non identifié du type lovesan blaster/Sasser!!! aider moi
Marsh Posté le 26-07-2004 à 23:10:33
Bonjour tout le monde je suis nouveau ici,
je suis infecté par des spywares notamment un dérivé de Coolwebsearch.
Voici le logfile de hijackthis:
Logfile of HijackThis v1.98.0
Scan saved at 22:59:41, on 26/07/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\MESSENGER PLUS! 3\MSGPLUS.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAM FILES\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\NOKIA\NCLTOOLS\NCLTRAY.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
D:\AD-AWARE 6 PRO\AD-WATCH.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\MSTINIT.EXE
C:\PROGRAM FILES\IOMEGA\TOOLS\IOWATCH.EXE
C:\PROGRAM FILES\IOMEGA\TOOLS\IMGICON.EXE
C:\PROGRAM FILES\SONY CORPORATION\IMAGE TRANSFER\SONYTRAY.EXE
C:\PROGRAM FILES\SCANNERU\AM32.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\NOKIA\SERVICES\SERVICELAYER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\WINAMP\WINAMP.EXE
C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
D:\HJT\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Program Files\Fichiers communs\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Ad-aware] D:\AD-AWARE 6 PRO\AD-AWARE.EXE +c
O4 - HKLM\..\Run: [Ad-watch] D:\AD-AWARE 6 PRO\Ad-watch.exe
O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: SnagIt 7.lnk = C:\Program Files\TechSmith\SnagIt 7\SnagIt32.exe
O4 - Startup: Iomega Watch.lnk = C:\Program Files\Iomega\Tools\IOWATCH.EXE
O4 - Startup: Options de démarrage Iomega.lnk = C:\Program Files\Iomega\Tools\IMGSTART.EXE
O4 - Startup: Iomega Disk Icons.lnk = C:\Program Files\Iomega\Tools\IMGICON.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Image Transfer.lnk = C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Startup: Action Manager 32.lnk = C:\Program Files\ScannerU\AM32.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAM FILES\AIM95\AIM.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
J'ai beau cocher les cases SearchAssistant et Customize search ses derniers reviennent et créent des clés dans ma base de registre.
Voici ce que m'affiche ADWatch pour sa part:
Ad-watch Logfile, exported on 26/07/04
===============================================
26/07/04 22:32:54 - Registry modification detected
Root:HKEY_CURRENT_USER
Key:Software\Microsoft\Internet Explorer\Main
Value:Start Page
Data:http://www.wanadoo.fr/
New Data:about:blank
Possible browser hijack attempt (Blocked)
===============================================
26/07/04 22:32:54 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Microsoft\Internet Explorer\Main
Value:Search Bar
Data:
New Data:file://C:\WINDOWS\TEMP\sp.html
Possible browser hijack attempt (Blocked)
En ce moment ma page about:blank est infectée par une parge "search for...", du spyware coolwebsearch.
Voilà si vous avez quelques idées pour me débarasser de ses cochoneries. Merci d'avance
Liondor