Se connecter avec
S'enregistrer | Connectez-vous

spyware Systemdoctor casino , nombreux essais mais tjrs présents "résolu par che

Dernière réponse : dans Sécurité

Bonjour,
Je suis infecté par Systemdocto et autres spyware.
J'ai essayé les méthodes classiques Spybot et Ad Aware, mais aussi d'autres méthodes conseillées ici.
En mode sans echec ou non, mais je n'arrive pas à m'en débarasser.
Pouvez vous m'aider
le rapport:
Logfile of HijackThis v1.99.1
Scan saved at 15:26:59, on 18/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\adminposte\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [SpywareBot] C:\Program Files\SpywareBot\SpywareBot.exe -boot
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavweb...
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/cfweb_activex.ca...
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab312...
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\hpbpro.exe
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\hpboid.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

résolu

Autres pages sur : spyware systemdoctor casino nombreux essais tjrs presents resolu che

Lassé par la pub ? Créez un compte

Bonjour

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.
https://europe.f-secure.com/blacklight/try.shtml
Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse.

voici le rapport
07/18/06 15:43:15 [Info]: BlackLight Engine 1.0.42 initialized
07/18/06 15:43:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/18/06 15:43:16 [Note]: 7019 4
07/18/06 15:43:16 [Note]: 7005 0
07/18/06 15:43:30 [Note]: 7006 0
07/18/06 15:43:30 [Note]: 7011 1492
07/18/06 15:43:30 [Note]: 7026 0
07/18/06 15:43:30 [Note]: 7026 0
07/18/06 15:43:30 [Note]: 7024 3
07/18/06 15:43:30 [Info]: Hidden process: C:\windows\system32\lajwqiem.exe
07/18/06 15:43:30 [Note]: FSRAW library version 1.7.1019
07/18/06 15:45:23 [Info]: Hidden file: c:\WINDOWS\system32\lajwqiem_nav.dat
07/18/06 15:45:23 [Note]: 10002 1
07/18/06 15:45:27 [Info]: Hidden file: c:\WINDOWS\system32\lajwqiem.dat
07/18/06 15:45:27 [Note]: 10002 1
07/18/06 15:45:27 [Info]: Hidden file: C:\windows\system32\lajwqiem.exe
07/18/06 15:45:27 [Note]: 10002 1
07/18/06 15:45:29 [Info]: Hidden file: c:\WINDOWS\system32\lajwqiem_navps.dat
07/18/06 15:45:29 [Note]: 10002 1
07/18/06 15:45:45 [Info]: Hidden file: c:\WINDOWS\Prefetch\LAJWQIEM.EXE-1EC9C2AA.pf
07/18/06 15:45:45 [Note]: 10002 1
07/18/06 15:47:17 [Note]: 7007 0

Le coupable est là.

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.

Télécharge Brute Force Uninstaller (de Merijn)
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

Ouvre le Bloc-note et copie-colle les lignes en bleu ci-dessous

ProcessKill %PROGRAMFILES%\SpywareBot\SpywareBot.exe |1

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\lajwqiem
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|lajwqiem
FileDelete %SYSDIR%\lajwqiem_navps.dat
FileDelete %SYSDIR%\lajwqiem_nav.dat
FileDelete %SYSDIR%\lajwqiem.dat
FileDelete %SYSDIR%\lajwqiem.exe

FolderDelete %PROGRAMFILES%\SpywareBot

SystemEmptyTempFolder
SystemEmptyRecycleBin

FileDelete C:\egd.txt
SystemRun regedit|/e C:\egd.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0F8[/b]; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

Fixme.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Fixme.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

Redémarre normalement.

Poste le rapport situé ici
C:\egd.txt

merci de ta rapidité
voici la réponse
07/18/06 16:32:45 [Info]: BlackLight Engine 1.0.42 initialized
07/18/06 16:32:45 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/18/06 16:32:45 [Note]: 7019 4
07/18/06 16:32:45 [Note]: 7005 0
07/18/06 16:32:47 [Note]: 7006 0
07/18/06 16:32:47 [Note]: 7011 1608
07/18/06 16:32:47 [Note]: 7026 0
07/18/06 16:32:47 [Note]: 7026 0
07/18/06 16:32:47 [Note]: 7024 3
07/18/06 16:32:47 [Info]: Hidden process: C:\windows\system32\lajwqiem.exe
07/18/06 16:32:47 [Note]: 7024 3
07/18/06 16:32:47 [Info]: Hidden process: C:\windows\system32\lajwqiem.exe
07/18/06 16:32:47 [Note]: FSRAW library version 1.7.1019
07/18/06 16:34:56 [Info]: Hidden file: c:\WINDOWS\system32\lajwqiem_nav.dat
07/18/06 16:34:56 [Note]: 10002 1
07/18/06 16:34:59 [Info]: Hidden file: c:\WINDOWS\system32\lajwqiem.dat
07/18/06 16:34:59 [Note]: 10002 1
07/18/06 16:35:00 [Info]: Hidden file: C:\windows\system32\lajwqiem.exe
07/18/06 16:35:00 [Note]: 10002 1
07/18/06 16:35:02 [Info]: Hidden file: c:\WINDOWS\system32\lajwqiem_navps.dat
07/18/06 16:35:02 [Note]: 10002 1
07/18/06 16:35:17 [Info]: Hidden file: c:\WINDOWS\Prefetch\LAJWQIEM.EXE-1EC9C2AA.pf
07/18/06 16:35:17 [Note]: 10002 1
07/18/06 16:35:51 [Note]: 7007 0

ok j'ai recommancé
voici le log
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpywareBot"="C:\\Program Files\\SpywareBot\\SpywareBot.exe -boot"
"!ewido"="\"C:\\Program Files\\ewido anti-spyware 4.0\\ewido.exe\" /minimized"
"Dell QuickSet"="C:\\Program Files\\Dell\\QuickSet\\quickset.exe"
"vptray"="C:\\PROGRA~1\\SYMANT~1\\\\vptray.exe"

ok j'ai suivi tes conseils et désinstallé
voici le log
si tu penses que c'est bon dit moi comment on indique que c'est résolu stp
07/18/06 18:16:36 [Info]: BlackLight Engine 1.0.42 initialized
07/18/06 18:16:36 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/18/06 18:16:37 [Note]: 7019 4
07/18/06 18:16:37 [Note]: 7005 0
07/18/06 18:16:39 [Note]: 7006 0
07/18/06 18:16:39 [Note]: 7011 1528
07/18/06 18:16:39 [Note]: 7026 0
07/18/06 18:16:40 [Note]: 7026 0
07/18/06 18:16:44 [Note]: FSRAW library version 1.7.1019
07/18/06 18:19:40 [Note]: 2000 1006
07/18/06 18:19:59 [Note]: 7007 0

Bonjour !!

Je voudrais que tu m'aides a faire la meme chose pour mon ordi qui est egalement infecté !! merci d'avance !

Voici ma liste Hijack :

Logfile of HijackThis v1.99.1
Scan saved at 18:53:52, on 18/07/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\isnotify.exe
C:\WINDOWS\System32\issearch.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Winsos\WINSOS.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\François.ARTUSSE-RJ34O5E\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.msn.fr/spbasic.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB6CA0BF-7607-4116-8FD5-C0498C9A1975}: NameServer = 212.151.137.170 212.151.136.246
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - C:\Documents and Settings\playboy.ARTUSSE-RJ34O5E\Application Data\Microsoft\IdentityCRL.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Lassé par la pub ? Créez un compte

Créer un nouveau sujet

Tom's guide dans le monde