impossible de detruire un spyware dans le regFermé

Question

Bonjour,

j'ai un programme incrusté dans le registre windows (version 98 SE). Ce programme affiche une barre de tache très encombrante sur internet. J'ai scané avec hijack. Voilà le résultat.
La ligne en gras semble être à l'origine de ce problème

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ufcxshetdsxpogkdrdslul.com/T9J8rlBCB0PJ2LVVBMKAucxhlV3bZvrpIeqbgZQBuR_51IVRX1U5KPvVPlXY_MXG.cgi</gras>R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} -
C:\WINDOWS\SYSTEM\BHOECART.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5EF04820-5B5A-DECF-B6F5-7F31D5AA6AD8} - C:\WINDOWS\APPLICATION DATA\INTERNET BURN START\HOPE VIEW.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Start Plus Win Logo] C:\WINDOWS\Application Data\meet bib start plus\Dumb Amok.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [PavProc] "C:\Program Files\Fichiers communs\Panda Software\PavShld\PavPrS9x.exe"
O4 - HKLM\..\RunServices: [PAVFNSVR] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PavFnSvr.exe"
O4 - HKLM\..\RunServices: [PSIMSVC] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PSIMSVC.exe"
O4 - HKLM\..\RunServices: [PavProt] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PavProt.exe"
O4 - HKLM\..\RunServices: [Panda Preventium+ Service] "C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2004\PREVSRV.EXE"
O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [army64] C:\WINDOWS\APPLIC~1\SHOWTO~1\deletelog.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15298a9fac8091842b16/netzip/RdxIE601_fr.cab

J'ai essayé de supprimer cette clé de registre mais elle reapparait a chaque fois il y a surement autre chose à toucher mais je ne suis pas un expert.

Si quelque pouvait me conseiller.

merci d'avance.

espemetal.

balltrap34 · Answer

saluttu as tous mis en gras c est trop dur a lireet tu na pas mi la totalite du rapportla chasse et le balltrap ma vrai passionvoir site perso dans profil

roupic · Answer

Bonjour, j'ai déjà été contaminé par plusieurs spywares. Un jour je suis tombé sur un logiciel de Webroot; c'est fou toutes les saloperies qu'il a dénichées. Tu peux installer sans frais l'outil en question pour une utilisation d'essai pour 30 jours; pas de problèmes à utiliser, même s'il est en anglais...il est très efficace.Voici le lien, tu n'as qu'à cliquer sur Spy sweeper dans
"try it" Bonne chance
http://www.webroot.com/downloads/

roupic · Answer

oups!  je viens de voir qu'il est maintenant disponible en français; tant mieuxhttp://www.webroot.com/fr/products/spysweeper/Roupic

Richard1 · Answer

Bonjour Espemetal51

Dans ton scan de HijackThis, coche ces lignes:

O2 - BHO: (no name) - {5EF04820-5B5A-DECF-B6F5-7F31D5AA6AD8} - C:\WINDOWS\APPLICATION DATA\INTERNET BURN START\HOPE VIEW.EXE

O4 - HKLM\..\Run: [Start Plus Win Logo] C:\WINDOWS\Application Data\meet bib start plus\Dumb Amok.exe

O4 - HKCU\..\Run: [army64] C:\WINDOWS\APPLIC~1\SHOWTO~1\deletelog.exe

Clic ensuite sur fix checked.

Ce sera pas mauvais du tout.

Bien amicalement

Richard1 (Montréal, Canada)
P.S. donne-moi de tes nouvelles car j'ai d'autres solutions si jamais ce n'était pas suffisant.

Richard1 · Answer

Re-bonjour Espemetal51,

J'ai vu que tu avais Panda Titanium 2004.
Assurez-toi qu'il est updaté s'il n'est pas configuré pour le faire automatiquement.
De plus, si la ligne que tu veux effacer du régistre est la 016, ce n'est vraiment pas nécessaire car pas dangereuse du tout.

Cordialement

Richard1 (Montréal, Canada)

espemetal · Answer

bonjour,Merci Richard, j'ai suivi vos instructions et je suis débarrassé de cette saloperie.mercimerci également de m'avoir conseillé spysweeper.bonne journée.

popososolala · Answer

salut a tous voila mon probleme quand je navigue sur le web de temps en temps il y a une fenetre qui apparait en m'indiquant probleme pavprot.exe et qu'est ce que c'est exactement?

Grizzly · Answer

bonjour a tous je suis nouveau et j'ai un prob avec DMVlite... et peut etre autres choses j'en sais trop rien.en tout ka,  j'arrive pas le détruire. voici le cript de HijackThis.Autre chose j'ai 29 documents que je ne vois pas dans ma poubelle et que j'arrive pas non plus a effacer si quelqu'un a une solution.MerciLogfile of HijackThis v1.99.0Scan saved at 16:33:54, on 2005-02-06Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\ibmpmsvc.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\S24EvMon.exeC:\WINDOWS\system32\spoolsv.exec:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\UnivLaval\cvpnd.exeC:\Program Files\IBM\IBM Rapid Restore Ultrarpcsb.exec:\Program Files\Norton AntiVirus
avapsvc.exeC:\WINDOWS\System32\QCONSVC.EXEC:\WINDOWS\System32\RegSrvc.exeC:\WINDOWS\system32\TpKmpSVC.exec:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32undll32.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Synaptics\SynTP\SynTPLpr.exeC:\Program Files\Synaptics\SynTP\SynTPEnh.exeC:\WINDOWS\system32\TpShocks.exeC:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exeC:\WINDOWS\system32undll32.exeC:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.ExeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\IBM\Messages By IBM\ibmmessages.exeC:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exeC:\WINDOWS\system32\dla	fswctrl.exeC:\IBMTOOLS\UTILS\ibmprc.exeC:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exeC:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXEC:\WINDOWS\system32\RunDll32.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\iTunes\iTunesHelper.exeC:\Program Files\QuickTime\qttask.exeC:\WINDOWS\system32\wsxsvc\wsxsvc.exeC:\WINDOWS\system32\wrkkgv.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\iPod\bin\iPodService.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\WINDOWS\system32\wscntfy.exeC:\Documents and Settings\Grizzly\Bureau\HijackThis.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Messenger\msmsgs.exeO1 - Hosts: 69.20.16.183 ieautosearchO1 - Hosts: 69.20.16.183 ieautosearchO1 - Hosts: 69.20.16.183 ieautosearchO1 - Hosts: 69.20.16.183 auto.search.msn.comO1 - Hosts: 69.20.16.183 search.netscape.comO1 - Hosts: 69.20.16.183 ieautosearchO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exeO4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exeO4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exeO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgentO4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helperO4 - HKLM\..\Run: [TpShocks] TpShocks.exeO4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exeO4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXEO4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitorO4 - HKLM\..\Run: [TP4EX] tp4ex.exeO4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.ExeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [UC_Start] C:\Program Files\IBM\Updater\ucstartup.exeO4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exeO4 - HKLM\..\Run: [UpdateManager] "c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /rO4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exeO4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exeO4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXEO4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitorO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [netdaemon] C:\WINDOWS\system32
etdaemon /vO4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exeO4 - HKLM\..\Run: [Dvx] C:\WINDOWS\system32\wsxsvc\wsxsvc.exeO4 - HKLM\..\Run: [SESync] "C:\Program Files\SED\SED.exe"O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exeO4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exeO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Digital Line Detect.lnk = ?O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: Universite Laval Client VPN ULaval.lnk = C:\Program Files\UnivLaval\vpngui.exeO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.htmlO8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dllO9 - Extra 'Tools' menuitem: Console Java (IBM) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dllO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dllO11 - Options group: [JAVA_IBM] Java (IBM)O12 - Plugin for .avi: C:\Program Files\Netscape\Communicator\Program\PLUGINS
pavi32.dllO23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: Symantec Event Manager - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Program Files\UnivLaval\cvpnd.exeO23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exeO23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: IBM Rapid Restore Ultra Service - Unknown - C:\Program Files\IBM\IBM Rapid Restore Ultrarpcsb.exeO23 - Service: IBM PM Service - Unknown - C:\WINDOWS\System32\ibmpmsvc.exeO23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exeO23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - c:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: IBM PSA Access Driver Control - Unknown - C:\WINDOWS\system32\PsaSrv.exe (file missing)O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXEO23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exeO23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exeO23 - Service: Spectrum24 Event Monitor - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exeO23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeO23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: IBM KCU Service - Unknown - C:\WINDOWS\system32\TpKmpSVC.exeO23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exeO23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exeJe sais pas trop quoi faire si quelqu'un peut m'aider.

Grizzly · Answer

vous pouvez me joindre sur g_bouvet@hotmail.commerci à tous.ByeG

balltrap34 · Answer

salut grizzlypour commencer fait cecihttp://www.commentcamarche.net/forum/affich-1224271-a-faire-avant-de-poster-un-hijackthis

Grizzly · Answer

ok merci j'ai déja Spybot, et Affichage du message CWShredder. pour le troisième ca roule. JE suis la procédure.Merci a bientot.G

Sally · Answer

Bonjour,

Je suis ennuyée par des spams du genre Spyware-secure.

(pas très sécure).

Le rapport scanning fsbl de mon pc est :
07/08/07 21:32:26 [Info]: BlackLight Engine 1.0.64 initialized
07/08/07 21:32:26 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/08/07 21:32:26 [Note]: 7019 4
07/08/07 21:32:26 [Note]: 7005 0
07/08/07 21:32:28 [Note]: 7006 0
07/08/07 21:32:28 [Note]: 7011 404
07/08/07 21:32:29 [Note]: 7026 0
07/08/07 21:32:29 [Note]: 7026 0
07/08/07 21:32:29 [Note]: 7024 3
07/08/07 21:32:29 [Info]: Hidden process: C:\windows\system32\oihdujtev.exe
07/08/07 21:32:30 [Note]: FSRAW library version 1.7.1022
07/08/07 21:37:12 [Info]: Hidden file: c:\WINDOWS\system32\oihdujtev.dat
07/08/07 21:37:12 [Note]: 10002 1
07/08/07 21:37:13 [Info]: Hidden file: C:\windows\system32\oihdujtev.exe
07/08/07 21:37:13 [Note]: 10002 1
07/08/07 21:37:13 [Info]: Hidden file: c:\WINDOWS\system32\oihdujtev_nav.dat
07/08/07 21:37:13 [Note]: 10002 1
07/08/07 21:37:13 [Info]: Hidden file: c:\WINDOWS\system32\oihdujtev_navps.dat
07/08/07 21:37:13 [Note]: 10002 1
07/08/07 21:37:51 [Note]: 2000 1012
07/08/07 21:46:04 [Note]: 7007 0

Comment puis-je en finir avec ces fichiers cachés ?

Je vous remercie de votre attention.

Sally

Impossible de detruire un spyware dans le reg

12 réponses

Discussions similaires

Newsletters