tuer definitivement les espions
tuer definitivement les espions - Sécurité - Windows & Software
Marsh Posté le 31-05-2006 à 17:49:06
bonjour
Mailskinner ce n'est pas bon signe...
1/ fais un clic droit de souris sur ce lien http://perso.numericable.fr/~altsh [...] ers/IA.bat / "enregistrer sous"
Mets le fichier sur le bureau, double-clique dessus
Ne tiens pas compte de ce qui sera écrit dans la fenetre noire
un rapport va s'ouvrir au bout de quelques instants, dans un fichier texte : poste-le.
2/ télécharge F-Secure Blacklight (777ko) http://www.f-secure.com/blacklight/try.shtml
Place-le dans son propre répertoire, dans C:\
Lance-le en double-cliquant sur le fichier blbeta.exe
Accepte la licence, et clique enfin sur "Scan"
Si Blacklight détecte des éléments invisibles, il en affiche la liste et permet de les renommer
Ne renomme rien du tout. Copie le contenu du log qui sera généré dans le même dossier que blbeta, avec un nom qui ressemblera à fsbl-20060316011845.log
Ne ferme pas blbeta
Marsh Posté le 31-05-2006 à 18:27:12
re voila ce que ma donner ia.bat
*** Répertoires ***
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CC0B-1694
Rpertoire de C:\Program Files\Fichiers communs
20/05/2006 14:56 <REP> .
20/05/2006 14:56 <REP> ..
15/05/2006 17:28 <REP> Adobe
10/05/2006 18:40 <REP> Ahead
12/05/2006 23:46 <REP> DESIGNER
16/05/2006 01:31 <REP> InstallShield
20/05/2006 14:56 <REP> Java
12/05/2006 23:47 <REP> Microsoft Shared
10/05/2006 23:48 <REP> MSSoap
10/05/2006 02:36 <REP> ODBC
10/05/2006 23:48 <REP> Services
10/05/2006 02:36 <REP> SpeechEngines
18/05/2006 12:05 <REP> Symantec Shared
13/05/2006 12:19 <REP> System
10/05/2006 17:10 <REP> Wise Installation Wizard
0 fichier(s) 0 octets
15 Rp(s) 103ÿ759ÿ683ÿ584 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CC0B-1694
Rpertoire de C:\Program Files
30/05/2006 19:27 <REP> .
30/05/2006 19:27 <REP> ..
15/05/2006 17:28 <REP> Adobe
10/05/2006 18:29 <REP> Alcohol Soft
21/05/2006 12:03 <REP> Bethesda Softworks
27/05/2006 12:03 <REP> BitComet
18/05/2006 01:05 <REP> CCleaner
10/05/2006 23:47 <REP> ComPlus Applications
11/05/2006 01:01 <REP> Creative
16/05/2006 02:15 <REP> Direct MIDI to MP3 Converter
25/05/2006 11:47 <REP> Driver Cleaner Pro
18/05/2006 12:05 <REP> Eazel
30/05/2006 19:27 <REP> Eidos
30/05/2006 10:00 <REP> eMule
31/05/2006 13:55 <REP> ewido anti-malware
20/05/2006 14:56 <REP> Fichiers communs
25/05/2006 18:32 <REP> Finale 2004b FR
11/05/2006 02:58 <REP> Gigabyte
11/05/2006 01:28 <REP> hp photosmart
16/05/2006 14:48 <REP> Illustrate
18/05/2006 12:05 <REP> Internet Explorer
20/05/2006 14:57 <REP> Java
25/05/2006 23:37 <REP> MailSkinner
13/05/2006 12:15 <REP> Messenger
10/05/2006 23:50 <REP> microsoft frontpage
12/05/2006 23:46 <REP> Microsoft Office
10/05/2006 23:48 <REP> Movie Maker
10/05/2006 23:46 <REP> MSN
10/05/2006 23:46 <REP> MSN Gaming Zone
18/05/2006 12:05 <REP> MSN Messenger
10/05/2006 18:40 <REP> Nero
10/05/2006 23:48 <REP> NetMeeting
25/05/2006 13:54 <REP> NVIDIA Corporation
10/05/2006 23:47 <REP> Online Services
13/05/2006 12:19 <REP> Outlook Express
11/05/2006 01:25 <REP> PowerTracks DirectX Plugins
18/05/2006 12:05 <REP> Razer
30/05/2006 20:16 <REP> Saitek
10/05/2006 23:48 <REP> Services en ligne
11/05/2006 02:22 <REP> SLD Codec Pack
18/05/2006 12:05 <REP> Spybot - Search & Destroy
17/05/2006 22:39 <REP> Sygate
10/05/2006 23:59 <REP> Symantec
31/05/2006 18:12 <REP> Symantec AntiVirus
17/05/2006 18:24 <REP> Transcribe!
18/05/2006 12:03 <REP> Ubisoft
18/05/2006 12:05 <REP> Windows Media Player
10/05/2006 23:46 <REP> Windows NT
18/05/2006 12:05 <REP> WinRAR
10/05/2006 23:50 <REP> xerox
0 fichier(s) 0 octets
50 Rp(s) 103ÿ759ÿ683ÿ584 octets libres
*** Fichiers ***
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CC0B-1694
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CC0B-1694
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CC0B-1694
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CC0B-1694
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CC0B-1694
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CC0B-1694
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CC0B-1694
*** Registre ***
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Magic Control
*** Terminé ***
et avec blbeta
05/31/06 18:23:21 [Info]: BlackLight Engine 1.0.37 initialized
05/31/06 18:23:21 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/31/06 18:23:21 [Note]: 7019 4
05/31/06 18:23:21 [Note]: 7005 0
05/31/06 18:24:24 [Note]: 7006 0
05/31/06 18:24:24 [Note]: 7011 1592
05/31/06 18:24:24 [Note]: 7026 0
05/31/06 18:24:24 [Note]: 7026 0
05/31/06 18:24:24 [Note]: 7024 3
05/31/06 18:24:24 [Info]: Hidden process: C:\windows\system32\ougfxa.exe
05/31/06 18:24:24 [Note]: FSRAW library version 1.7.1015
05/31/06 18:25:32 [Info]: Hidden file: c:\WINDOWS\Prefetch\OUGFXA.EXE-2406250F.pf
05/31/06 18:25:32 [Note]: 10002 1
05/31/06 18:25:37 [Info]: Hidden file: c:\WINDOWS\system32\ougfxa.dat
05/31/06 18:25:37 [Note]: 10002 1
05/31/06 18:25:37 [Info]: Hidden file: C:\windows\system32\ougfxa.exe
05/31/06 18:25:37 [Note]: 10002 1
05/31/06 18:25:37 [Info]: Hidden file: c:\WINDOWS\system32\ougfxa_nav.dat
05/31/06 18:25:37 [Note]: 10002 1
05/31/06 18:25:37 [Info]: Hidden file: c:\WINDOWS\system32\ougfxa_navps.dat
05/31/06 18:25:37 [Note]: 10002 1
Marsh Posté le 31-05-2006 à 18:39:00
Si tu n'as pas fermé blbeta, comme demandé : clique sur le bouton "next" pour accéder au "step2/cleaning"
Tu vas retrouver le liste de ces 5 fichiers malwares, qui sont invisibles actuellement, en principe :
| Citation : C:\windows\system32\ougfxa.exe |
pour chacun d'entre eux, sélectionne-les, puis clique sur le bouton "rename". Lorsque tu as terminé, clique sur le bouton "next" (ou "finish", je ne sais pas exactement)
Le fait que ces fichiers aient été renommés entraine qu'ils vont devenir :
| Citation : C:\windows\system32\ougfxa.exe.ren |
".ren" étant l'extension ajoutée. Donne-toi à présent accès à tous les fichiers :
| Citation : Ouvrir un dossier, n'importe lequel. Aller dans : |
1/ Vas dans le répertoire c:\WINDOWS\system32 et supprime ces 4 fichiers :
ougfxa.exe.ren
ougfxa.dat.ren
ougfxa.exe.ren
ougfxa_nav.dat.ren
ougfxa_navps.dat.ren
2/ Vas dans le répertoire c:\WINDOWS\Prefetch et supprime ce fichier :
OUGFXA.EXE-2406250F.pf.ren
3/ et dis moi simplement comment ça s'est passé.
Marsh Posté le 31-05-2006 à 19:12:33
je ne vois rien qui s appel ougfxa, idem pour le dossier prefetch.
j ai meme fai une recherche.
mais rien.
Marsh Posté le 31-05-2006 à 19:16:45
pas pratique tout ça...
télécharge ce fichier http://www.yousendit.com/transfer. [...] 503c1da6d3
dézippe-le
double-clique sur le fichier ren.bat
le bloc notes va s'ouvrir, poste son contenu, stp
Marsh Posté le 31-05-2006 à 19:42:49
est tu sur de ton lien car lorsque je clique dessus il m envoie sur une page pour pouvoir envoyer des mail d environ 100mb.
Marsh Posté le 31-05-2006 à 19:52:27
g oublié une etape tout a l heure, je n avais pas redemarré le pc .
du coup c tout bon j ai pu virer les 4 fichier ds le systeme 32
et le fichier ds le prefetch.
que faut il que je fasse apres?
Marsh Posté le 31-05-2006 à 20:50:00
Je ne vois pas très bien en quoi le fait de redémarrer a changé quelque chose, mais c'est toujours un peu compliqué avec cette fonction de blbeta. Et pourtant, quel dommage de ne pas en profiter je trouve !
Note comment démarrer en mode sans échec (choisis ta version de windows, si tu le peux, utilise préférentiellement la touche F8 ) : http://service1.symantec.com/SUPPO [...] 5112131924
Tu vas t'en servir de l'étape 2 à l'étape 8 sans accès à internet.
1/ Télécharge :
- CCleaner http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip
Décompresse-le dans un dossier propre à lui (C:\BFU)
FAIS UN CLIC-DROIT sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisi "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous.." )
afin de télécharger EGDACCESS Remover (de Metallica), Type "Tous les fichiers". Sauvegarde dans le dossier créé (c:\BFU)
2/ Crée un nouveau document texte : clic droit de souris sur le bureau, "nouveau"> "document texte". Ouvre-le et copie-colle dedans de ce qui est en citation (sauf le mot "citation" bien sur)ci-dessous, ligne vide comprise à la fin (copie tout d'un trait) :
| Citation : REGEDIT4 |
Dans le menu "fichier" de ce document texte, sélectionner "enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix0.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
L'icône de fix0.reg doit ressembler à cela 
*****Copie ce qui suit dans un bloc-notes et redémarre en mode sans échec*****
3/ Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :
O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.
3 et demi/ Supprime ce dossier c:\program files\mailskinner
4/ Démarrer/panneau de configuration/options internet
- onglet "contenu"
- onglet "certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs
electronic-group
egroup
Montorgueil
VIP
=> Supprime-les tous
5/ double clique sur fix0.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"
6/ Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe. Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci :
c:\bfu\EGDACCESS.bfu
Clique sur execute et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique sur Exit pour fermer le programme BFU.
7/ Lance CCleaner, "Nettoyeur"/"lancer le nettoyage" et c'est tout.
8/ Redémarre normalement et poste un nouveau rapport HijackThis, ainsi qu'un nouveau scan blbeta.
9/ Enfin, poste un rapport Panda
http://www.pandasoftware.com/activ [...] ncipal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "tout ordinateur" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.
Message édité par eZula le 31-05-2006 à 20:50:38
Marsh Posté le 31-05-2006 à 21:00:05
il permet de mettre en évidence des fichiers ultra-masqués, des sortes de "rootkits" si tu préfères.
Marsh Posté le 31-05-2006 à 21:42:07
bon ba voila , g eu quelque probleme avec le fichier reg il n a pas voulu s intaller ds la base.donc du coup je suis passer a l etape suivante.
ds hijackthis g vu de nouveau ougfxa g hesiter a le virer.
tu me diras si je peu le virer ou pas.
Logfile of HijackThis v1.99.1
Scan saved at 21:30:45, on 31/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Razer\razerhid.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiMfd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Razer\razertra.exe
C:\Program Files\Razer\razerofa.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Documents and Settings\FRANCK'S\Mes documents\logiciel\HijackThis.exe
C:\WINDOWS\system32\wscntfy.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer\razerhid.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ougfxa] c:\windows\system32\ougfxa.exe ougfxa
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Program Files\Saitek\Software\SaiMfd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Panda ActiveScan - {653D93AF-C741-4e5e-8C1B-59BA43F93E16} - http://www.pandasoftware.com/activ [...] ncipal.htm (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Panda spyXposer - {EE657293-B4C4-4752-B035-DCBBC2D04008} - http://www.pandasoftware.com/spyxp [...] ncipal.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 7306866328
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/ [...] nerADP.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
pour les certificat g regarder et d' ailleur g en pas mal mais je ne sais pas si je dois les enlever?
05/31/06 21:37:26 [Info]: BlackLight Engine 1.0.37 initialized
05/31/06 21:37:26 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/31/06 21:37:26 [Note]: 7019 4
05/31/06 21:37:26 [Note]: 7005 0
05/31/06 21:37:28 [Note]: 7006 0
05/31/06 21:37:28 [Note]: 7011 1444
05/31/06 21:37:28 [Note]: 7026 0
05/31/06 21:37:28 [Note]: 7026 0
05/31/06 21:37:28 [Note]: 7024 3
05/31/06 21:37:28 [Info]: Hidden process: C:\windows\system32\klzjciyts.exe
05/31/06 21:37:28 [Note]: FSRAW library version 1.7.1015
05/31/06 21:37:58 [Info]: Hidden file: c:\WINDOWS\Prefetch\KLZJCIYTS.EXE-1B2ABB86.pf
05/31/06 21:37:58 [Note]: 10002 1
05/31/06 21:38:08 [Info]: Hidden file: c:\WINDOWS\system32\klzjciyts_nav.dat
05/31/06 21:38:08 [Note]: 10002 1
05/31/06 21:38:08 [Info]: Hidden file: c:\WINDOWS\system32\klzjciyts.dat
05/31/06 21:38:08 [Note]: 10002 1
05/31/06 21:38:08 [Info]: Hidden file: C:\windows\system32\klzjciyts.exe
05/31/06 21:38:08 [Note]: 10002 1
05/31/06 21:38:09 [Info]: Hidden file: c:\WINDOWS\system32\klzjciyts_navps.dat
05/31/06 21:38:09 [Note]: 10002 1
Marsh Posté le 31-05-2006 à 21:48:58
pour les certificats, ne supprime que ceux que je t'ai dit, si tu les trouves.
Fixe cette ligne avec HJT :
O4 - HKLM\..\Run: [ougfxa] c:\windows\system32\ougfxa.exe ougfxa
reprends blbeta "next"> cleaning
et renomme ces 5 fichiers
c:\WINDOWS\Prefetch\KLZJCIYTS.EXE-1B2ABB86.pf
c:\WINDOWS\system32\klzjciyts_nav.dat
c:\WINDOWS\system32\klzjciyts.dat
C:\windows\system32\klzjciyts.exe
c:\WINDOWS\system32\klzjciyts_navps.dat
une fois terminé, supprime-les tous (je rappelle qu'ils auront une extension .ren supplémentaire)
Evite de redémarrer pendant ces manips
Marsh Posté le 31-05-2006 à 21:49:23
vla le reste , scan avec panda
Incident Statut Analyse
Spyware:Cookie/PointRoll No Désinfecté C:\Documents and Settings\FRANCK'S\Cookies\franck's@ads.pointroll[1].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\FRANCK'S\Cookies\franck's@weborama[2].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\FRANCK'S\Cookies\franck's@xiti[1].txt
Marsh Posté le 31-05-2006 à 21:55:23
je n ai maleureusement pas d autre choix que de redemarrer, car sinon il n aparaisse pas ds le system 32. et apparament dlbeta a besoin de redemarrer pour finir son application.
que risque t il de ce passer si je redemarre pdt ces application?
Marsh Posté le 31-05-2006 à 22:02:21
le risque est que le processus mute comme cela vient de se passer, donc ne le fais pas.
Fais ce que je te demandais dans le message Posté le 31-05-2006 à 19:16:45
clique sur le bouton "Download Now" pour télécharger ce fichier
Marsh Posté le 31-05-2006 à 22:11:41
que veut tu dire par mute.
le probleme ton lien ne me renvoi sur aucun fichier a dl. alor je n ai pas eu d autre choix que de redemarrer.
si tu peu me lenvoyer ou si tu as une adresse msn.
comment savoir si le resultat du scan fait avec blbeta est bien un log espion?
Marsh Posté le 31-05-2006 à 22:16:22
non ne redémarre pas !
Crée un nouveau document texte : clic droit de souris sur le bureau, "nouveau"> "document texte". Ouvre-le et copie et colle ces lignes en citation (sauf le mot citation) :
| Citation : cd\ |
Dans le menu "fichier"/"enregistrer sous", sélectionne :
"Nom du fichier" : list.bat
"Type" : "tous les fichiers"
Clique ensuite sur "enregistrer".
double-clique dessus, le bloc-notes s'ouvre au bout de quelques instants. Copie et poste son contenu.
Message édité par eZula le 31-05-2006 à 22:16:44
Marsh Posté le 31-05-2006 à 22:31:42
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CC0B-1694
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CC0B-1694
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CC0B-1694
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CC0B-1694
Marsh Posté le 31-05-2006 à 22:44:13
apres avoir fais un scan et virer les cookiees espion, pourquoi reapparaissent il de nouveaux apres avoir rebooté?
Marsh Posté le 31-05-2006 à 22:45:01
aucun résultat, a priori c'est bon signe mais on va quand même prendre cette précaution :
Télécharge PocketKillBox http://www.bleepingcomputer.com/fi [...] illBox.zip
Dézippes-le sur ton bureau.
Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".
Simultanément, crée un nouveau document texte
copie-colle dedans ce qui est dans la citation suivante (sauf le mot "citation" ) :
| Citation : c:\WINDOWS\Prefetch\KLZJCIYTS.EXE-1B2ABB86.pf |
Toujours dans ton bloc-notes, vas dans le menu édition/"sélectionner tout", puis encore dans édition/"copier"
Sur PocketKillBox --> "File" -->"Paste from Clipboard" (tu ne verras rien se passer). Tu peux vérifier dans le menu déroulant que tous les fichiers sont bien présents.
clique sur le bouton "all files"
clique ensuite sur la croix rouge
Au deux messages qui vont s'afficher,tu réponds par "YES"
(Si tu as des difficultés avec cette manip, regarde cette démo animée, item n°1 http://pageperso.aol.fr/balltrap34/killbox.htm)
L'ordinateur doit redémarrer, sinon, fais le toi-même.
refais un scan blbeta, s'il ne trouve plus rien, ton problème est réglé.
edit > pour les coiokies on verra après car ce n'est pas méchant.
Message édité par eZula le 31-05-2006 à 22:45:51
Marsh Posté le 31-05-2006 à 23:11:14
voilal le dernier scan fait avec blbeta.
05/31/06 23:09:21 [Info]: BlackLight Engine 1.0.37 initialized
05/31/06 23:09:21 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/31/06 23:09:22 [Note]: 7019 4
05/31/06 23:09:22 [Note]: 7005 0
05/31/06 23:09:23 [Note]: 7006 0
05/31/06 23:09:23 [Note]: 7011 1488
05/31/06 23:09:23 [Note]: 7026 0
05/31/06 23:09:23 [Note]: 7026 0
05/31/06 23:09:27 [Note]: FSRAW library version 1.7.1015
Marsh Posté le 31-05-2006 à 23:16:28
ouch ! le scan n'a pris que 6 secondes ? j'ai un peu du mal à y croire
lorsque tu as lancé blbeta, tu avais bien le message "scan complete, no items found" lorsqu'il a terminé (ça doit prendre au moins une minute, une minute trente) ?
Marsh Posté le 31-05-2006 à 23:35:21
ouep j avais bien ca d indiquer .
en tout cas c trop bon g plus de spyware.
donc si je me fait infecter de nouveau je n ai plus qu a refaire cette meme manip.
de toute facon avec blbeta il ne peut me sortir que des fichiers spyware ? ou y a t il un risque d effacer des fichier servant au fonctionnant de windows?
en tout cas merci pour ton aide et ta patience.
une derniere chose si ce n est pas trop abuser , peut tu m expliquer comment proceder pour virer ces cookiees espions definitivement . car des que je reboot il reapparaissent aussitot.
merci
Marsh Posté le 01-06-2006 à 00:08:22
blbeta est un outil très spécifique, en l'occurence je te l'ai proposé car tu étais infecté par l'adware Navipromo. Cela veut donc dire qu'il ne sera pas forcément utile si tu es infecté par autre chose.
De plus il peut trouver des fichiers légitimes (les deux seuls que je connaisse sont wbemtest.exe et un fichier lié à HP) donc à manipuler avec précaution.
| Citation : que veut tu dire par mute. |
on a supprimé la série des fichiers ougfxa dans un premier temps et lorsque tu as redémaré, une nouvelle série est apparue klzjciyts. On peut dire que le processus "mute", en quelque sorte.
D'ailleurs, pour terminer, démarrer/exécuter, tape regedit et supprime ce qui est en gras ci-dessous uniquement :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MailSkinner
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ougfxa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\klzjciyts
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"ougfxa" <- dans le panneau de droite de cette clé "Run"
"klzjciyts" <- dans le panneau de droite de cette clé "Run"
"Instant Access" <- dans le panneau de droite de cette clé "Run"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"ougfxa" <- dans le panneau de droite de cette clé "Run"
"klzjciyts" <- dans le panneau de droite de cette clé "Run"
"Instant Access" <- dans le panneau de droite de cette clé "Run"
Ce truc-là s'incruste dans la liste ajout/suppression de programmes, je ne sais pas trop pourquoi d'ailleurs.
Supprime blbeta.exe, IA.bat, C:\bfu, PF-FC.bat et remets l'affichage des dossiers par défaut, si tu préfères.
Venons-en à ta question initiale, au fait 
donc il est normal de récolter des cookies au fur et à mesure du surf. Ce qui est chiant, c'est que si on ne les surveille pas, on fiinit par retrouver de tout et surtout n'importe quoi. Certains cookies-spywares (cf panda) sont déposés probablement par la régie de pub de ce forum, c'est d'ailleurs le cas de beaucoup de forums.
La solution que je te propose est de filtrer ces cookies, càd de ne laisser entrer que ceux qui te seront réellement utiles, regarde ici http://perso.numericable.fr/~altsh [...] okies.html
Tu verras que dans ces conditions, fini les surprises, surtout les mauvaises
Marsh Posté le 01-06-2006 à 13:20:12
je suis allé ds la base de registre pour supprimer ces fameux fichier , mais je n ai rien vu , donc je pense qu ils ont bien été eliminé et qu il ne reste plus de trace .
idem pour les cookiees je pense qu il sont bien bloquer et que j ai virer ceux qui etait nuisible.
en tout cas merci pour toute l'aide que tu m as apporté pour supprimer tous ces espions .
Sujets relatifs:
- Supprimer définitivement l'option ACCESSIBILITé
- Norton récalcitrant : comment s'en débarrassé définitivement
- Comment effacer définitivement des fichiers avec Windows XP ?
- Désinstaller définitivement Outlook Express
- Le Raid Va Me Tuer !!! help-me plz !!!
- Processus Inactif impossible à tuer
- commande pour tuer un processus
- Effacer définitivement un fichier déjà "effacé"
- [DOS / NT] comment tuer un processus par commande DOS
- Comment tuer un service lancé par svchost.exe ??
Marsh Posté le 31-05-2006 à 17:46:25
hello ts le monde.
sa fait un tit moment que je me trimballe des espions ,en general j utilise spybot, ewido, ccleaner et de temps en temps je fais des scan sur le net avec panda.
g beau les supprimer mais a chaque fois que je reboot mon pc il reapparaissent, il sont sous la forme de cookiees.
si quelqu un peut me donner une solutions pour pouvoir les virer definitevement.
g fais un scan avec hijackthis si par la meme occasion vous voyerz des truc qui nuise au bon fonctionnement de mon systeme n hesitez pas.
merci davance.
Logfile of HijackThis v1.99.1
Scan saved at 16:58:21, on 31/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Razer\razerhid.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiMfd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\program files\mailskinner\mailskinner.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Razer\razertra.exe
C:\Program Files\Razer\razerofa.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Documents and Settings\FRANCK'S\Mes documents\logiciel\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer\razerhid.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Program Files\Saitek\Software\SaiMfd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Panda ActiveScan - {653D93AF-C741-4e5e-8C1B-59BA43F93E16} - http://www.pandasoftware.com/activ [...] ncipal.htm (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Panda spyXposer - {EE657293-B4C4-4752-B035-DCBBC2D04008} - http://www.pandasoftware.com/spyxp [...] ncipal.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 7306866328
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/ [...] nerADP.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe