Bonjour,
Depuis ce matin, mon ordi est infesté par une ####rie qui me met une page de démarrage IE Spy Axe/ Spy Trooper. Apparemment, c'est à la mode. J'ai essayé Spy Sweeper, a2, ewido, qui ont supprimé des tas de cochonneries mais pas résolu le pb majeur. Je n'ose plus surfer ni aller sur des sites sécurisés où je dois entrer des mots de passe. J'ai perdu une journée de travail.
Si une bonne âme (compétente) pouvait m'aider. J'ai lancé HijackThis pour gagner du temps mais je n'y comprends rien.
Et je ne voudrais pas faire une mauvaise manip qui me ferait perdre mon boulot.
Merci d'avance,
K.

Logfile of HijackThis v1.99.1
Scan saved at 17:52:55, on 24/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\Program Files\ewido\security suite\ewidoctrl.exe
D:\WINDOWS\system32\drivers\KodakCCS.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Documents and Settings\claude\Bureau\programmes divers\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://freebox.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - D:\WINDOWS\System32\hp9F3E.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SpySweeper] "D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\RunServices: [Network Host Service] msmnart32.exe
O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O12 - Plugin for .mid: D:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/11c251 [...] 601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O20 - Winlogon Notify: ddcyy - D:\WINDOWS\System32\ddcyy.dll (file missing)
O20 - Winlogon Notify: jkhhf - jkhhf.dll (file missing)
O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Handling the DHCP requests (DHCP Client) - Unknown owner - D:\WINDOWS\System32\wrdpad05.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - D:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Unknown owner - D:\Program Files\Network Associates\Common Framework\FrameworkService.exe (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - D:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - D:\WINDOWS\system32\wincntrl.exe (file missing)

Salut Pollux_63
T'es le Samu du Puy-de-Dôme ? :-)

re,

[I](Dans un premier temps, imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pourvoir les consultés en mode sans échec)[/I]

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

2/ Redémarre en mode sans échec.

3/ Désintalles ces programmes par le panneau de configuration (si présent):

- Spyaxe

4/ Vérifie d'avoir accès à tous les fichiers
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - D:\WINDOWS\System32\hp9F3E.tmp

O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [Network Host Service] msmnart32.exe
O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/11c251 [...] 601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab

O20 - Winlogon Notify: ddcyy - D:\WINDOWS\System32\ddcyy.dll (file missing)
O20 - Winlogon Notify: jkhhf - jkhhf.dll (file missing)

O23 - Service: Handling the DHCP requests (DHCP Client) - Unknown owner - D:\WINDOWS\System32\wrdpad05.exe (file missing)
O23 - Service: MS Dns Service (WinNet) - Unknown owner - D:\WINDOWS\system32\wincntrl.exe (file missing)

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

6/ Supprime les fichiers incriminés (s'ils existent encore) par l'Explorateur Windows :

- msmnart32.exe (utilise la recherche windows pour le localiser)
- task32w.exe (utilise la recherche windows pour le localiser)
- D:\WINDOWS\System32\wrdpad05.exe <-- le fichier
- D:\WINDOWS\System32\ddcyy.dll <-- le fichier
- D:\WINDOWS\system32\wincntrl.exe <-- le fichier

7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". Dans les deux cas, supprime tous ce qu'il te propose.

8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

9/ As-tu toujours des dysfonctionnements?

Cher Pollux_63,
Apparemment, tu m'a sauvé la mise. Je n'ai plus de parasitage.
Est-ce utile de poster le nouveau rapport HijackThis ?
Si je comprends bien, sur Internet c'est comme dans la vraie vie : il y a quelques dizaines d'enfoirés qui cherchent à pourrir l'existence des autres (des frustrés ?) tandis que la majorité des gens normaux cherchent simplement à vivre tranquilles. Et c'est sur les solidarités des uns et des autres qu'il faut s'appuyer.
Un grand merci pour ton aide. Si je peux t'être utile à mon tour. Pas en informatique, tu l'as compris. A tout hasard, je suis un peu journaliste (quand j'ai du boulot) et j'habite dans l'Eure, à 100 km à l'ouest de Paris.
Salut. J'ai beaucoup apprécié ton aide !
K.

Bonsoir korwin.

Tes mots gentils me touchent. Merci.

Stp, poste un nouveau rapport HijackThis pour vérification.

oui!!!! Mais une fois que ton PC sera propre, on parlera protection afin que tu n'attrapes "plus" de malwares.

re,

ok, ton rapport est propre.

A présent parlons sécurisation de ton système:

quelques conseils de sécurité pour terminer :

-Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )
- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier( journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert)
- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
- scan hebdomadaire antispyware


Pour en savoir plus, consulte la page de ipl_001
http://gerard.melone.free.fr/IT/IT-AM0.html

Tu dois également installer les outils suivants:

-Un pare-feu
Kerio
Zone Alarm

-SpywareBlaster:

http://www.javacoolsoftware.com/downloads.html
Son tuto:
http://www.ordi-netfr.org/tutorialspywareblaster.html


-SpyBot-Search & Destroy

http://spybot.safer-networking.de/ [...] index.html
Son tuto
http://assiste.free.fr/p/frameset/ [...] estroy.php


-ZebProtect

http://www.zebulon.fr/articles/zebprotect.php
http://telechargement.zebulon.fr/123.html


Auteur: queruak

Maintenant, les réponse à tes questions:
non, je ne suis absolument pas informaticien. Cela fait maintenant 6/7 mois que je m'intéresse à la sécurité et l'éradiction de malware.
voila un lien pour apprendre les bases de HijachThis: http://www.zebulon.fr/articles/ana [...] this-1.php
ensuite il faut s'entrainer, poser des questions aux experts...

les 2 sont de bons pare-feu. Mais je pense qu'il est plus facile d'utiliser Zone Alarm pour un newbie.
un tuto sur la version pro, mais tu peux largement t'en inspiré pour paramétrer la version gratuite: http://speedweb1.free.fr/frames2.php?page=tuto1

Aucun risque de conflits, puisqu'il s'agit de logiciels pour éradiquer les malwares (spy, trojan...) et non pas de protection en temps réel.

Garde-le. ce logiciel est très utile pour supprimer tous les fichiers inutiles (ces fichiers se créent chaque fois que tu visites une page web par exemple).

Regarde tes MP (Messages Personnels) (sur la gauche de ta page)

@+