encore un virus ... spywareQuake

Le Forum Windows XP
Scanner Windows pour détecter les erreurs de registre

Ce que nous vous conseillons :

1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs.

2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons
    fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.



Messagepar charlemagne06 » 26 Mar 2006, 22:07

bonjour tout le monde Image
Je suis victime d'un virus :
C'est un programme qui s'est logé sur le disque dur en prenant le nom de spywareQuake ... il vous annonce que votre ordi est infesté et propose de se rendre sur un site pour acheter (évidemment ) le remède : un logiciel anti spyware ! Il a même créé une icone dans la barre d'accés rapide ... bien sûr la page d'acceuil d'IE est modifiée en étant la page du site en question...
j'ai essayé Spy hot et Ad-aware SE tour à tour sans succés ...
je précise que j'utilise une connexion wanadoo adsl
merci de votre aide Image
charlemagne06
 

Messagepar JoShuA » 27 Mar 2006, 00:03

bonsoir,

peux-tu nous poster le résultat d'un scan avec hijackthis (cf ce ce message
Avatar de l’utilisateur
JoShuA
Modérateur
 
Messages: 7246
Inscrit le: 02 Jan 2002, 15:37
Localisation: IdF

Messagepar charlemagne06 » 27 Mar 2006, 13:16

salut Image
je te poste le bidule demandé ! :
Logfile of HijackThis v1.99.1
Scan saved at 14:06:18, on 27/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesAheadInCDInCDsrv.exe
C:Program FilesFichiers communsSymantec SharedccSetMgr.exe
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32FTRTSVC.exe
C:Program FilesNorton AntiVirusnavapsvc.exe
C:WINDOWSsystem32nvctrl.exe
C:WINDOWSSOUNDMAN.EXE
C:Program FilesJavajre1.5.0_06binjusched.exe
C:Program FilesFichiers communsSymantec SharedSecurity CenterSymWSC.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesCyberLink DVD SolutionPowerDVDPDVDServ.exe
C:Program FilesAheadInCDInCD.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesZTE CorporationZXDSL852CnxDslTb.exe
C:Program FileseBayeBay Toolbar2eBayTBDaemon.exe
C:Program FilesSpywareQuakeSpywareQuake.exe
C:PROGRA~1WanadooTaskBarIcon.exe
C:Program FilesSpywareQuakeSpywareQuake.exe
C:Program FilesNikonNkView6NkvMon.exe
C:WINDOWSsystem32svchost.exe
C:PROGRA~1WanadooEspaceWanadoo.exe
C:Program FilesNorton AntiVirusSAVScan.exe
C:PROGRA~1WanadooComComp.exe
C:PROGRA~1WanadooToaster.exe
C:PROGRA~1WanadooInactivity.exe
C:PROGRA~1WanadooPollingModule.exe
C:WINDOWSSystem32ALERTM~1ALERTM~1.EXE
C:PROGRA~1WanadooWatch.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesOutlook Expressmsimn.exe
C:PROGRA~1MOZILL~1FIREFOX.EXE
C:Program FilesMessengermsmsgs.exe
C:unzippedhijackthisHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Wanadoo
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:PROGRA~1WanadooSEARCH~1.DLL
O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:WINDOWSsystem32hpB40D.tmp
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:Program FilesNorton AntiVirusNavShExt.dll (file missing)
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:Program FileseBayeBay Toolbar2eBayTB.dll (file missing)
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:Program FilesSecurity ToolbarSecurity Toolbar.dll
O4 - HKLM..Run: [IMJPMIG8.1] "C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM..Run: [PHIME2002ASync] C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /SYNC
O4 - HKLM..Run: [PHIME2002A] C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /IMEName
O4 - HKLM..Run: [IgfxTray] C:WINDOWSsystem32igfxtray.exe
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSsystem32hkcmd.exe
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavajre1.5.0_06binjusched.exe
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec SharedccApp.exe"
O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLink DVD SolutionPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [InCD] C:Program FilesAheadInCDInCD.exe
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [ATICCC] "C:Program FilesATI TechnologiesATI.ACEcli.exe" runtime -Delay
O4 - HKLM..Run: [CnxDslTaskBar] "C:Program FilesZTE CorporationZXDSL852CnxDslTb.exe" "ZTE CorporationZXDSL852"
O4 - HKLM..Run: [WOOWATCH] C:PROGRA~1WanadooWatch.exe
O4 - HKLM..Run: [WOOTASKBARICON] C:PROGRA~1WanadooGestMaj.exe TaskBarIcon.exe
O4 - HKLM..Run: [Symantec NetDriver Monitor] C:PROGRA~1SYMNET~1SNDMon.exe /Consumer
O4 - HKLM..Run: [eBayToolbar] C:Program FileseBayeBay Toolbar2eBayTBDaemon.exe
O4 - HKLM..Run: [SpywareQuake] C:Program FilesSpywareQuakeSpywareQuake.exe /h
O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 - HKCU..Run: [WOOKIT] C:PROGRA~1WanadooGestMaj.exe EspaceWanadoo.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:Program FilesNikonNkView6NkvMon.exe
O8 - Extra context menu item: &eBay Search - res://C:Program FileseBayeBay Toolbar2eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dll (file missing)
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:PROGRA~1WANADO~1Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:PROGRA~1WANADO~1Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O17 - HKLMSystemCCSServicesTcpip..{1128DE29-2307-4BD8-86B5-E2D437CA78A0}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLMSystemCS1ServicesTcpip..{1128DE29-2307-4BD8-86B5-E2D437CA78A0}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: igfxcui - C:WINDOWSSYSTEM32igfxsrvc.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSsystem32Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:Program FilesFichiers communsSymantec SharedccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:Program FilesFichiers communsSymantec SharedccSetMgr.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:WINDOWSSystem32FTRTSVC.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:Program FilesAheadInCDInCDsrv.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:Program FilesNorton AntiVirusnavapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:Program FilesNorton AntiVirusSAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:PROGRA~1FICHIE~1SYMANT~1SCRIPT~1SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:Program FilesFichiers communsSymantec SharedSNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:Program FilesFichiers communsSymantec SharedSecurity CenterSymWSC.exe

j'espère que vous pourrez faire quelque chose avec ça... ;)
charlemagne06
 

Messagepar LeLapinFou » 27 Mar 2006, 13:47

Bonjour,

Moi, je vois cela de louche :

C:WINDOWSsystem32nvctrl.exe
O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:WINDOWSsystem32hpB40D.tmp
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:Program FilesSecurity ToolbarSecurity Toolbar.dll
Avatar de l’utilisateur
LeLapinFou
Modérateur
 
Messages: 9511
Inscrit le: 09 Déc 2002, 10:25
Localisation: 0001 Processeur Ville

Messagepar JoShuA » 27 Mar 2006, 13:57

A mon avis quelques "merdouillasses" (à vérifier)

C:Program FilesSpywareQuakeSpywareQuake.exe

O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:WINDOWSsystem32hpB40D.tmp
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:Program FilesSecurity ToolbarSecurity Toolbar.dll
O4 - HKLM..Run: [IMJPMIG8.1] "C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
C:WINDOWSsystem32nvctrl.exe (peut-être norton)
Avatar de l’utilisateur
JoShuA
Modérateur
 
Messages: 7246
Inscrit le: 02 Jan 2002, 15:37
Localisation: IdF

Messagepar charlemagne06 » 27 Mar 2006, 20:21

Bonsoir
Toujours ce problem de virus Image
j'ai éliminé les entrées 03 et 04
le 02-BHO-nothing ... résiste, impossible de le détruire
je poste la startuplist de Hijack This
d'aprés ce que j'ai compris, la liste des programmes au démarrage...
c un peu long, je ne sais pas si ça peut servir ... Image

StartupList report, 27/03/2006, 21:02:35
StartupList version: 1.52.2
Started from : C:unzippedhijackthisHijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesAheadInCDInCDsrv.exe
C:Program FilesFichiers communsSymantec SharedccSetMgr.exe
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32FTRTSVC.exe
C:Program FilesNorton AntiVirusnavapsvc.exe
C:WINDOWSsystem32nvctrl.exe
C:Program FilesFichiers communsSymantec SharedSecurity CenterSymWSC.exe
C:WINDOWSSOUNDMAN.EXE
C:Program FilesJavajre1.5.0_06binjusched.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesCyberLink DVD SolutionPowerDVDPDVDServ.exe
C:Program FilesAheadInCDInCD.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesZTE CorporationZXDSL852CnxDslTb.exe
C:PROGRA~1WanadooTaskBarIcon.exe
C:Program FileseBayeBay Toolbar2eBayTBDaemon.exe
C:Program FilesNikonNkView6NkvMon.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesNorton AntiVirusSAVScan.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesWanadooEspaceWanadoo.exe
C:Program FilesWanadooComComp.exe
C:PROGRA~1WanadooToaster.exe
C:PROGRA~1WanadooInactivity.exe
C:PROGRA~1WanadooPollingModule.exe
C:WINDOWSSystem32ALERTM~1ALERTM~1.EXE
C:Program FilesWanadooWatch.exe
C:PROGRA~1MOZILL~1FIREFOX.EXE
C:unzippedhijackthisHijackThis.exe
C:Program FilesMessengermsmsgs.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:Documents and SettingsAll UsersMenu DémarrerProgrammesDémarrage]
Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
NkvMon.exe.lnk = C:Program FilesNikonNkView6NkvMon.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
UserInit = C:WINDOWSsystem32userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun

PHIME2002ASync = C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /SYNC
PHIME2002A = C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /IMEName
IgfxTray = C:WINDOWSsystem32igfxtray.exe
HotKeysCmds = C:WINDOWSsystem32hkcmd.exe
SoundMan = SOUNDMAN.EXE
SunJavaUpdateSched = C:Program FilesJavajre1.5.0_06binjusched.exe
ccApp = "C:Program FilesFichiers communsSymantec SharedccApp.exe"
RemoteControl = "C:Program FilesCyberLink DVD SolutionPowerDVDPDVDServ.exe"
InCD = C:Program FilesAheadInCDInCD.exe
NeroFilterCheck = C:WINDOWSsystem32NeroCheck.exe
ATICCC = "C:Program FilesATI TechnologiesATI.ACEcli.exe" runtime -Delay
CnxDslTaskBar = "C:Program FilesZTE CorporationZXDSL852CnxDslTb.exe" "ZTE CorporationZXDSL852"
WOOWATCH = C:PROGRA~1WanadooWatch.exe
WOOTASKBARICON = C:PROGRA~1WanadooGestMaj.exe TaskBarIcon.exe
Symantec NetDriver Monitor = C:PROGRA~1SYMNET~1SNDMon.exe /Consumer
eBayToolbar = C:Program FileseBayeBay Toolbar2eBayTBDaemon.exe

--------------------------------------------------

Autorun entries from Registry:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun

MSMSGS = "C:Program FilesMessengermsmsgs.exe" /background
WOOKIT = C:PROGRA~1WanadooGestMaj.exe EspaceWanadoo.exe

--------------------------------------------------

Shell & screensaver key from C:WINDOWSSYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:WINDOWSsystem32logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU..Policies: Shell=*Registry key not found*
HKLM..Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:WINDOWSsystem32hp8D0D.tmp - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Analyser mon ordinateur.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:DOCUME~1AdminLOCALS~1Temp~nsu.tmpAu_.exe


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:WINDOWSsystem32SHELL32.dll
CDBurn: C:WINDOWSsystem32SHELL32.dll
WebCheck: C:WINDOWSsystem32webcheck.dll
SysTray: C:WINDOWSsystem32stobject.dll

--------------------------------------------------
Autorun entries from Registry:
HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesExplorerRun

wininet.dll = dfrgsrv.exe
nvctrl.exe = nvctrl.exe

--------------------------------------------------

End of report, 6 358 bytes
Report generated in 0,031 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
charlemagne06
 

Messagepar JoShuA » 27 Mar 2006, 21:03

Même en mode sans echec ?
Avatar de l’utilisateur
JoShuA
Modérateur
 
Messages: 7246
Inscrit le: 02 Jan 2002, 15:37
Localisation: IdF


Retour vers Windows XP

Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 4 invités

  •  Liens commerciaux