> Tous les forums > Forum Sécurité
 infection spyware secure sur Win98SESujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
dpsf
  Posté le 09/03/2008 @ 22:31 
Aller en bas de la page 

Bonjour,

Je suis nouveau sur ce forum que j'ai trouvé en cherchant comment me débarasser de SPyware-Secure + popup de pub intempestif.

J'ai quelques bonnes bases d'info et ai déjà appliqué les conseils dispensés dans le message important du forum : Pré-nettoyage d'un PC infecté .

téléchargement de Ccleaner, de SPyware terminator, de HijackThis v 2.0.2

nettoyage en scan en mode sans échecs + scan avec Hijackthis en mode normal, ce qui me donne :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:59:34, on 08/03/08
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\CHPSTART.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGCC.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGEMC.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGAMSVR.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\ERJORGDXY.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\BUREAU\SPY SECU\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\CRAWLER\TOOLBAR\CTBR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\CRAWLER\TOOLBAR\CTBR.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CHIPSStart] CHPSTART.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVG7\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVG7\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVG7\AVGAMSVR.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [erjorgdxy] c:\windows\system\erjorgdxy.exe
O4 - HKUS\.DEFAULT\..\Run: [erjorgdxy] c:\windows\system\erjorgdxy.exe (User 'Default user')
O4 - .DEFAULT Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE (User 'Default user')
O4 - .DEFAULT Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAM FILES\JAVA\JRE1.5.0_12\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAM FILES\JAVA\JRE1.5.0_12\BIN\SSV.DLL
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - http://mailzc.domino.inetpsa.com/iNotes.cab">https://portail.inetpsa.com/http://mailzc.domino.inetpsa.com/iNotes.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\CRAWLER\TOOLBAR\CTBR.DLL

--
End of file - 4079 bytes

J'ai par ailleurs un programe Erjorgdxy (???) qui apparaît quand je fait Ctrl + Alt + Suppr.

Pouvez-vous m'aider svp

Publicité
green day
 Posté le 09/03/2008 à 22:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Salut

simple quetion, quel est ton FAI ??

  • Télécharger Catchme de Gmer sur le bureau : http://www.gmer.net/catchme.php
    • Double cliquer sur le fichier catchme.exe pour lancer l'utilitaire.
    • Cliquer sur Scan, Une fenêtre DOS s'ouvrira pour commencer l'analyse.
    • Attendre jusqu'au message « scan completed successfully », puis fermer la fenêtre.
    • Un fichier catchme.log est alors créé sur le bureau contenant le résultat de l'analyse.

==> poste le rapport stp

++

dpsf
 Posté le 09/03/2008 à 23:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Merci,

Je suis désolé mais catchme.exe ne fonctionne pas :

---------

CATCHME a causé une défaillance de page dans
le module CATCHME.EXE à 0167:00402b78.
Registres :
EAX=00000001 CS=0167 EIP=00402b78 EFLGS=00010202
EBX=00540000 SS=016f ESP=0064f690 EBP=0064f7d0
ECX=c165a260 DS=016f ESI=863659c8 FS=5537
EDX=00cc6254 ES=016f EDI=0064f7c8 GS=0000
Octets à CS : EIP :
8b 42 44 3b 85 d8 fe ff ff 75 02 eb 02 eb ce 83
État de la pile :
0064f988 863659c8 00540000 00000001 00000128 0000000a ff0ffb3b 7e31bae7 7e8fbae7 00000008 7e8fbae7 0000000d 00000000 575c3a43 4f444e49 535c5357

----------

Par ailleurs mon FAI et Neuf.

A+

dpsf
 Posté le 09/03/2008 à 23:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Voici le .log de catchme avant de planter...

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

dpsf
 Posté le 09/03/2008 à 23:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Sur le site de Gmer on trouve :

"GMER runs on Windows NT/W2K/XP/VISTA"

Aurais - tu une solution alternative avec un logiciel qui fonctionne sous Win 98SE ?

Merci et à demain (je vais me coucher...)

dpsf
 Posté le 10/03/2008 à 23:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Bonsoir,

Est-ce que quelqu'un peut m'aider parmis les spécialistes ici présents

sylvain13
 Posté le 11/03/2008 à 23:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir

Les outils que l'on utilise habituellement pour traiter cette infection ne fonctionnent pas avec windows 98 On va essayer manuellement!

..........

1 Désinstalle ces programmes s'ils sont présents:

  • go-astro
  • GoRecord
  • HotTVPlayer
  • MailSkinner
  • Messenger Skinner
  • Instant Access
  • InternetGameBox
  • sudoplanet
  • Webmediaplayer

.............

2 Lance Hijackthis; Clique sur "Do a system scan only (en français scanner seulement)

Coche les lignes suivantes (à gauche)

O4 - HKCU\..\Run: [erjorgdxy] c:\windows\system\erjorgdxy.exe

O4 - HKUS\.DEFAULT\..\Run: [erjorgdxy] c:\windows\system\erjorgdxy.exe (User 'Default user')

Clique sur Fix checked (fixer les lignes)

..........

3 afficher les dossiers cachés

  • Poste de travail
  • Affichage
  • Options des dossiers
  • Onglet "Affichage"
  • Dans la section "Fichiers cachés", sélectionner "Voir tous les fichiers"
  • Ok
................

4 Redémarrer en mode sans échec

1/ -Redémarrez l'ordinateur.
2/ -Lorsque l’ordinateur redémarre, appuyez (et maintenez appuyée) la touche F8 jusqu'à ce que le menu de démarrage de Windows 98 apparaisse.
3/ -Choisissez le mode sans échec depuis le menu de démarrage, et appuyez sur Entrée. Windows démarre en mode sans échec.
.

...........

5 cliquer sur démarrer - rechercher - fichier ou dossier.

- choisir "c:\windows\system" (sans les guillemets)dans le champ

"rechercher dans".

- taper "erjorgdxy" (sans les guillemets) dans le champ "nommer".

- cliquer sur le bouton " rechercher" pour lancer la recherche.

..........

5 Tu devrais voir apparaitre les fichiers suivants :

Erjorgdxy.exe

erjorgdxy.dat

erjorgdxy_nav.dat

erjorgdxy_navps.dat

.........

Si tu les a trouvé, renomme-les. Pour chacun de ces fichiers :

Clic bouton droit dessus -> "Renommer"

Cliquez à la fin de leur nom pour déselectionner la totalité du nom et y placer le curseur puis ajoutez ".ren" (sans les guillemets).

Windows risque de te signaler que tu changes l'extension du fichier. Confirme, c'est volontaire.

............I

ls devraient s'appeler maintenant :

Erjorgdxy.exe.ren

erjorgdxy.dat.ren

erjorgdxy _nav.dat.ren

erjorgdxy _navps.dat.ren

..............

6 Redémarre en mode normal, recolle un log Hijackthis et dis moi si tu as encore des publicités.

a+



Modifié par sylvain13 le 11/03/2008 23:54
dpsf
 Posté le 12/03/2008 à 22:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Merci,

Je viens de faire cela et voici le log de HiJackthis, je vais fonctionner comme ça quelques jours et je te tiendrais au courant.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:34:21, on 12/03/08
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\CHPSTART.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGCC.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGEMC.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGAMSVR.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CHIPSStart] CHPSTART.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVG7\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVG7\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVG7\AVGAMSVR.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - .DEFAULT Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE (User 'Default user')
O4 - .DEFAULT Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAM FILES\JAVA\JRE1.5.0_12\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAM FILES\JAVA\JRE1.5.0_12\BIN\SSV.DLL
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - http://mailzc.domino.inetpsa.com/iNotes.cab">https://portail.inetpsa.com/http://mailzc.domino.inetpsa.com/iNotes.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1

--
End of file - 3579 bytes

sylvain13
 Posté le 13/03/2008 à 22:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir

1 On va supprimer 2 lignes inutiles:

Lance Hijackthis; Clique sur "Do a system scan only" (en français scanner seulement)

Coche les lignes suivantes (à gauche)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

Clique sur Fix checked (fixer les lignes)

2 Il n'y a plus de trace de l'infection magic control agent dans ton log Hijackthis.

As tu trouvé et renommé les fichiers que je t'ai indiqué?

As tu encore des publicités intempestives?

a+

Publicité
dpsf
 Posté le 23/03/2008 à 22:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Merci,

après une semaine de silance pour cause de pb de chargeur, je vien de suivre tes derniers conseils mais avant cela il semble bien que les publicités intempestives aient disparues.

Je signale donc mon pb comme résolu ! merci pour ton aide !

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Infection par Spyware Secure
infection spyware secure + pubs sous Vista
infection par spyware secure
infection spyware secure ???
Infection du a spyware secure.
infection spyware secure
analyse hijack , infection spyware secure + pub
Infection de type pop up avec spyware-secure
infection www.spyware-secure.com ? HELP !!!
infection spyware
Plus de sujets relatifs à infection spyware secure sur Win98SE
 > Tous les forums > Forum Sécurité