Espace membre :
flechePublicité

14 messages
Filtrer ok

Comment désinfecter un pc contaminé par un Spyware? Spybot inutile

   Spyware
Bonjour à tous,
Voila j'ai un sérieux problème avec un PC.
Il s'agit d'un pc d'une entreprise...donc impossible de formater la bestiole
Le problème qui se pose est le suivant :
Du jour au lendemain, le pc a commencé à redemarrer tout seul comme un grand.
En arrivant sur la session, debut de chargement des programmes et puis paf reboot...Ainsi de suite
Test sur une autre session, pas de reboot mais de gros messages qui s'affiche du style "votre pc est infecté par un virus" Téléchargez notre anti spyware...Bref un beau gros mauvais spyware.
Autre probleme : La session qui s'ouvre est en "comple limité " donc impossible d'installer quoi que ce soit
J'ai donc du installer Spybot via le mode sans echec sur l'ancienne session qui rebootais.
J'ai lancé le test en Mode sans echec :
Detection OK plein de trucs : 113 fichiers infecté dont un truc "smitfraud"
Tentative de nettoyage : PLANTAGE total de la machine
Autre essai en mode normal : Meme chose : Plantage
Test avec Hijackthis : Tj le meme probleme
Test avec Smitfraudfix : Meme probleme...
En bref :
AU SECOURRRRRRRR !!!!
 
 
un scan en ligne antivirus : webscanner.kaspersky.fr...

a+
 
 
Je tente de suite je tiens au courant....
 
 
 
Le problème : avec un compte à droits limités, aura-t-il le droit d'exécuter l'ActiveX qui est chargé pour scanner en ligne ?
Pas évident...

Ou alors, avec le compte qui est Admin, en mode sans échec avec prise en charge réseau, éventuellement. En espérant que ce n'est pas la détection du réseau qui active la réponse du virus / spyware. Et même si ce n'est pas le cas, je ne sais pas si les ActiveX sont dispo en mode sans échec... Pas facile, tout ça

Sinon, tu peux essayer d'autres logiciels anti-spyware comme a-squared, ou Ad-aware. Je ne dis pas qu'ils ne feront pas planter le PC aussi, mais ça vaut le coup d'essayer, à mon avis.
Edité le 14/04/2008 à 12:28
 
 
En mode sans échec et avec le compte admin, réinitialise le mot de passe de l'utilisateur normal ou crée un compte supplémentaire pour la réparation. Il faut une connexion pour la MàJ.

Met à jour spybot et vaccine avant de faire quoi que ce soit d'autre en démarrage normal. Coupe la connexion internet (débrancher le câble RJ45 devrait suffire et relance une vaccination si elle n'a pas été faite totalement. Et après seulement lance un scan.
ça plante ? idem en mode sans échec ? alors on va prendre le taureau par les cornes:

dans Spybot, sélectionne Mode > Mode avancé. Dans le menu de gauche, plusieurs onglets sont apparus. Choisis Outils > Démarrage système. Si il y a des éléments en rouge: décoche-les pour désactiver leur démarrage automatique.
Puis va dans Réglages > Planificateur > Ajouter.
Coche "corriger les problèmes ..." et "fermer le programme" (si nécessaire) puis clic sur Modifier > onglet Planification > Nouveau
Tâche planifiée -> Au démarrage du système

Ceci va lancer un scan dès le démarrage du système. La planification sera à Supprimer quand le problème sera résolu.
Smitfraud est un vrai pot de glu, il contient de nombreux éléments difficilement nettoyables (j'ai eu plusieurs postes comme ça où smitfraud, virtumonde, spysheriff et consors côtoyait NetSky, Baggle, Mydoom et autres vers. Des vraies boites de pétri qui avaient infecté tout le réseau du client x_X )

Bon nettoyage et tiens nous au courant !
 
 
Bonjour,

On risque de dire que je fais du mauvais esprit mais si il s'agit de l'ordinateur d'une entreprise, pourquoi ne pas contacter le service informatique de celle-ci ?

Koin-Koin
 
 
Koin-Koin a écrit:
Bonjour,

On risque de dire que je fais du mauvais esprit mais si il s'agit de l'ordinateur d'une entreprise, pourquoi ne pas contacter le service informatique de celle-ci ?

Koin-Koin
Pas le temps / trop cher / il en fait partie mais trop difficile / je sais pas XD

Un peu de lecture distractive: www.silicon.fr...

Good luck & have fun
 
 
Non je ne suis pas du staff ni rien,
A vrai dire il n'y a pas vraiment de staff, c'est une petite structure...Donc voilou

Je cherche la soluce à mon prob, et je suis entrain de tester la soluce de Arkados...Il est entrain de scanner sur une nouvelle session fraichement crée
Je vous tiens au courant
La solution de l'antivirus online n'a rien changé au problème
 
 
Hello djill,

j'ai eu à peu près le même problème que toi il y a quelques jours (maintenant résolu: www.clubic.com... ). Je te conseille:
- télécharge hijackthis (gratuit) et poste le log
- télécharge navilog (gratuit) et poste aussi le log
- télécharge malwarebytes' antimalware (gratuit et très efficace) et fais un scan

A bientôt et bon courage
 
 
Comme Linkovitch j'avais compris : pas les droits sur la machine donc service info un tant soit peu capable de gérer ce genre de problème pour un utilisateur.

Maintenant, pas de structure info dans la boite donc impossible de formater parce que pas les moyens de reinstaller la machine pour bosser je comprends mieux.

Arkados a écrit:

Pas le temps / trop cher / il en fait partie mais trop difficile / je sais pas XD

Pas le temps : pas valable si on est pas capable de gérer ce genre de problème tout seul ça prend forcement plus de temps.
Trop cher : depuis quand un utilisateur est facturé à l'acte par son service info ??? (je postule de suite chez eux )

Il en fait partie mais trop difficile : dans ces cas la la problèmatique HDD n'est pas celle décrite.

Arkados a écrit:
[www.silicon.fr...
Belle saleté en effet, je me souviens de son grand frère, c'est vrai que ce n'est pas courant comme approche (en tout cas bien vicieux).

Une solution si il est possible de démonter le disque de la machine:
le mettre en disque secondaire dans une autre machine pour le nettoyer avec un anti virus a jour (au moins pour les fichiers), après le nettoyage du registre sera plus simple une fois la machine redémarrée.

koin-Koin
Edité le 14/04/2008 à 21:03
 
 
Bonjour à tous , voila j'ai essayé la méthode donnée par Arkados sans succès, en effet, le programme refuse de programmer le scan au demarrage il me met que le composant n'est pas activé (que la planification n'est pas activée)
J'ai essayé en plus un scan Ad-aware qui lui ne plante pas mais qui laisse de toute facon le probleme.
Ici je suis entrain d'essayer la méthode de Eleor :
J'ai le log hijackthis qui a été effectué en MODE SANS ECHEC, en effet, le pc plante au login utilisateur en mode normal maintenant...génial...ma collègue a tenté un scan avast et depuis il plante à ce moment là :'(:'(
Voila voila en esperant que antimalware fasse un peu mieux que spybot ou ad-aware

En attendant voici le log hijackthis:

Meme si je pense qu'en mode sans échec on ne saurait rien voir ....

Logfile of HijackThis v1.99.1
Scan saved at 9:37:33, on 18/04/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\TEMP\BNE.tmp
C:\WINDOWS\System32\cmd.exe
C:\Program Files\Navilog1\catchme.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\aswRunDll.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\Documents and Settings\Urgence sauvegarde\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6f74-2d53-2644-206d7942484f} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {763d0a98-090b-9ec1-59bf-0318c4e4f5ee} - C:\WINDOWS\system32\qjsfglpe.dll
O2 - BHO: e404 helper - {8f10de2b-e923-4548-b524-4d9c5fa80777} - C:\Program Files\Helper\1208246961.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Client Access PC5250 Sound] "C:\Program Files\IBM\Client Access\Emulator\pcssnd.exe"
O4 - HKLM\..\Run: [iSecurity applet] rundll32.exe iSecurity.cpl,SecurityMonitor
O4 - HKLM\..\Run: [advap32] "wcav486.exe"/r
O4 - HKLM\..\Run: [BluetoothAuthorizationAgent] C:\WINDOWS\System32\BluetoothAuthorizationAgent.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [nspoeieu] C:\WINDOWS\system32\nspoeieu.exe
O4 - HKLM\..\Run: [kzabwdkt] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\kzabwdkt.dll"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Démarrer les services de distribution.lnk = ?
O4 - Global Startup: Event Reminder.lnk = C:\Program Files\Broderbund\PrintMaster\PMremind.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - housecall65.trendmicro.com...
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D84C14C-7E65-4A31-9C2F-B52728B3BBA0}: NameServer = 212.166.3.14,212.166.2.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{8D84C14C-7E65-4A31-9C2F-B52728B3BBA0}: NameServer = 212.166.3.14,212.166.2.11
O17 - HKLM\System\CS2\Services\Tcpip\..\{8D84C14C-7E65-4A31-9C2F-B52728B3BBA0}: NameServer = 212.166.3.14,212.166.2.11
O17 - HKLM\System\CS3\Services\Tcpip\..\{8D84C14C-7E65-4A31-9C2F-B52728B3BBA0}: NameServer = 212.166.3.14,212.166.2.11
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: iSecurity.cpl
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O21 - SSODL: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - (no file)
O21 - SSODL: fPdhy - {7CC629CC-D66C-8366-9069-E15887F917B8} - C:\WINDOWS\system32\ynyq.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Fonction Commande à distance d'iSeries Access for Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: Dds Scheduler Deamon (DdsSched) - RICOH Company Ltd. - C:\Program Files\RDS\ddsschednt.exe
O23 - Service: Google Online Services - Unknown owner - C:\Documents and Settings\Lecomte\ie_updates3r.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe
O23 - Service: Ridoc Server Information Service (RsiSvc) - RICOH Company Ltd. - C:\Program Files\RDS\RsiSvc.exe
O23 - Service: ScanRouterDriverV2 - Ricoh Co.,Ltd. - C:\Program Files\RDS\srscandr.exe
O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)
O23 - Service: SOption - RICOH Company Ltd. - C:\Program Files\RDS\SOption.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Spouleur d'impression (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
 
 
Bonjour,

Rien que les lignes concernant les modules suivants posent problème:
PLSRemote.exe
ie_updates3r.exe
WLCtrl32.dll
wcav486.exe

Je laisse les contributeurs qui maitrisent HiJackThis expliquer comment nettoyer à l'aide de celui-ci (désolé je n'ai jamais à m'en servir).
Sinon, as tu pu essayer la solution du disque secondaire ?

Koin-Koin
 
 
Probleme resolu avec la solution de Eleor et la desinstallation de Avast !!!!
Un tout grand merci à tous !!!!
 
 
     
14 messages
Filtrer ok
Vous devez être connecté pour écrire un message !

BE GEEK ! Avec Clubic Logo

flechePublicité