possible spyware or adware infection!

Jean Lavallée · - Inscrit le: 18 Fév 2008 Messages: 23

Bonjour

j'ai le même problème de spyware où on me demande de cliquer sur l'icone de la compagnie pour évidemment acheter leur produit....je ne comprend ce que vous voulez dire par : Notepad s'ouvrira fais un copier coller de tout son contenu ici dans ta prochaine réponse ? la réponse que j'envoi à qui et où ?

merci

Embarassed

arba · .. Inscrit le: 27 Jan 2008 Messages: 558

salut jean lavalée

Chaque procedure est unique pour chaque ordinateur.

Tu dois editer un nouveau sujet en expliquant ton probleme clairement et je t'aiderais en te donnant une procedure spécifique, puis :

- Télécharge le fichier executable Hijackthis V 2.02 http://www.trendsecure.com/portal/fr/tools/security_tools/hijackthis/download

- Fais un double clic sur HJTInstall.exe afin de lancer l'installation

- Clique sur Install ensuite sur I Accept

- Clique sur Do a scan system and save log file

- Notepad s'ouvrira fais un copier coller de tout son contenu dans ta prochaine reponse dans le nouveau sujet (il s'agit d'un fichier texte dont il faut copier l'intégralité puis la coller dans le nouveau sujet).

Voici un petit tuto pour une meilleure compréhension :
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
(merci Bruce Lee).

arba · .. Inscrit le: 27 Jan 2008 Messages: 558

Edite ton nouveau sujet ici :
http://www.gsiteg.com/fr/securite-vf5.html

arba · .. Inscrit le: 27 Jan 2008 Messages: 558

ca y est tu as edité ton sujet, trés bien.

Maintenant donne nous quelques renseignements :
-Tu dis qu'on te demande de cliquer sur l'icone de la compagnie...a quel moment, de quelle compagnie s'agit t il, quelle est la teneur de ces messages?
-As tu remarqué des désagréments depuis l'apparition de ces messages (tel qu'un ralentissement du système par exemple) ou rien de particulier.

Aprés avoir exposé ces faits dans ta prochaine réponse, colle ton rapport hijackthis en t'aidant du tuto dont je t'ai donné le lien plus haut.

.

Jean Lavallée · - Inscrit le: 18 Fév 2008 Messages: 23

salut

Voici le contenu du note pad:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:37:30, on 2008-02-19
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Fichiers communs\Virtual Token\vtserver.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Altiris\AClient\AClient.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
c:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\system32\svchost.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\OfficeScan NT\OfcPfwSvc.exe
C:\TEMP\IK97B1.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\IBM ThinkVantage\Client Security Solution\cssauth.exe
C:\WINDOWS\Explorer.EXE
C:\Altiris\AClient\AClntUsr.EXE
C:\Program Files\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe
C:\OfficeScan NT\pccntmon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mapaq/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mapaq
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat\AcroIEFavClient.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\IDM\QUICKF~1\PlugIns\IEHelp.dll
O2 - BHO: (no name) - {E26CEADA-67B0-4543-BE8B-307F00265118} - C:\Program Files\Security Tools\iesplg.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Program Files\Security Tools\iesbpl.dll (file missing)
O4 - HKLM\..\Run: [AClntUsr] C:\Altiris\AClient\AClntUsr.EXE
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [PDService.exe] "C:\Program Files\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe"
O4 - HKLM\..\Run: [cssauth] "C:\Program Files\IBM ThinkVantage\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Program Files\Security Tools\iesmn.exe
O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Program Files\Security Tools\imsmain.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [configmsi] cmd /c "rmdir /q C:\config.msi" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [configmsi] cmd /c "rmdir /q C:\config.msi" (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://c:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)
O9 - Extra button: Dictionnaire - {FB4AE6A3-EE20-442c-9189-251885352358} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)
O9 - Extra button: Synonymes - {FDD637F8-2693-49ce-817E-1AD59574900C} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote S - IE 6.htm (HKCU)
O9 - Extra button: Conjugueur - {FF229BEC-9E1F-48c1-99A6-AF34ABEFAB0A} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote C - IE 6.htm (HKCU)
O9 - Extra button: Grammaire - {FFB5EE7F-726F-423e-83C2-572FE7CEB3F0} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.mapaq
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeInstaller.exe
O16 - DPF: {BFD90062-6B5E-4F8F-87B1-5F022C14E32F} (ActiveReceiver Control) - http://www.meetstream.com/activex/28081/activereceiver.cab
O16 - DPF: {CAFECAFE-0013-0001-0024-ABCDEFABCDEF} (JInitiator 1.3.1.24) -
O16 - DPF: {FA30EC32-668B-4B60-B13C-4C84EB90C3C9} (ActiveID Control) - http://www.meetstream.com/activex/28081/activeid.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mapaq.ministere.prod
O17 - HKLM\Software\..\Telephony: DomainName = mapaq.ministere.prod
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mapaq.ministere.prod
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = mapaq.ministere.prod
O22 - SharedTaskScheduler: cyk - {49f29a27-2451-4314-a480-8d2481ce6c81} - C:\WINDOWS\system32\yhjbbzf.dll
O23 - Service: Altiris Client Service (AClient) - Altiris, Inc. - C:\Altiris\AClient\AClient.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Program Files\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: Protector Suite Virtual Token (vtserver) - UPEK Inc. - C:\Program Files\Fichiers communs\Virtual Token\vtserver.exe

--
End of file - 10585 bytes

Jean Lavallée · - Inscrit le: 18 Fév 2008 Messages: 23

Il s'agit du logiciel virus protect pro dont l'icone est installé dans ma barre dans bas... il m'indique que mon ordi est infecté par un spyware qui risque de ralentir les performances de mon ordinateur. Il me donc d'installer son logiciel pour m'en débarasser.

Effectivement mon portable est tourne parfois au ralenti lorsque je lui demande des commandes dans word (exemple: comme dans sauvegarder ou imprimer)

merci

arba · .. Inscrit le: 27 Jan 2008 Messages: 558

Telecharge
-vundofix.exe : http://www.atribune.org/content/view/24/2/
-AVG antispyware : http://www.grisoft.com/doc/31/us/crp/0?prd=asw
-rogue remover : http://www.majorgeeks.com/RogueRemover_d5360.html
-smitfraudfix : http://telechargement.zebulon.fr/smitfraudfix.html

Installe Rogue remover et Avg antispywares et fais les mises à jour.

Double click sur Vunfix.exe, puis Scan for Vundo et supprime tous les éléments trouvés , redémarre.

Lance Rogue remover, scan et supprime tous les éléments trouvés,redémarre.

Passe en mode sans echec :tapote F8 au redémarrage puis Mode sans echec.
Click sur ta session et pas administrateur.

Lance Avg anti-Spywares fais un scan complet de tous les disques et met en quarantaines tous les éléments trouvés. Edite un rapport que tu enregistre sur le bureau.

lance SmitFraudfix à l'aide de l'icône.

Tape sur la touche 2 du clavier puis valide par Entrée.
SmitFraudfix scanne alors l'ordinateur.. laisse l'opération s'effectuer
SmitFraudfix peut te demander si tu désire nettoyer le registre, répond oui à la question, pour cela tape sur la touche o puis valide par la touche entrée.
Une fois le nettoyage terminé, SmitFraudfix ouvre le rapport de nettoyage sur le bloc-note.
La connexion internet ne fonctionne pas en mode sans échec, enregistre le rapport sur le bureau.

Redémarre l'ordinateur.

Poste dans ta prochaine réponse les rapports AVG antispywares, Smitfraudfix et reposte un nouveau log Hijackthis.

Jean Lavallée · - Inscrit le: 18 Fév 2008 Messages: 23

Arba tu es un génie... j'ai plus de problèmes et je t'en remercie grandement ...

vive Arba ! Laughing

arba · .. Inscrit le: 27 Jan 2008 Messages: 558

re Jean

Fais attention tout de meme, tu n'as pas de protection sur ton pc, je te conseil de lire cet article de malekal :
http://forum.malekal.com/viewtopic.php?f=45&t=381&sid=4067a0f5d3a1796a649e6d8035d034d1

pour résumer : un antivirus (antivir en gratuit par exemple, selon moi le meilleur), un parefeu ( celui de windows xp n'est pas terrible mais si tu ne te "sens" pas a parametrer un parefeu plus complexe il fais l'affaire) ,un antispyware (par exemple celui d'AVG, exellent mais qui perd sa protection résidente a la fin de la période d'essai) ,et surtout une conduite prudente sur la toile.

Bonne continuation.

Jean Lavallée · - Inscrit le: 18 Fév 2008 Messages: 23

merci de tes conseils Arba... j'ai été infecté probablement lors d'un déplacement dans un hôtel en me connectant sur leur réseau car autrement je suis protégé par le système du bureau.

je ferais attention

(probablement que je vais mettre kaspersky lors des déplacements)

Jean L.