virus ou troyen impossible à supprimer - Smitfraud

Bonsoir à tou(te)s,

Je n\'ai malheureusement toujours pas pu éradiquer le virus de mon pc (Smitfraud-C) et j\'ai voulu faire un scan avec secuser, ça ne marche pas.

Voici ce qui est indiqué sur le site:

Either your browser does not support the object element or an error occurred while downloading the object. Unable to load the HouseCall ActiveX control.

J\'ai installé le contrôle ActiveX mais ça n\'a rien changé.

Le pire, c\'est que cette saleté me pique mes mots de passe et supprime mes pages de bureau.

J\'ai supprimé aussi tous les fichiers \"méchants\" repérés par hijackthis mais ils reviennent à chaque fois que j\'allume mon pc.

Que faire???

Bonjour
Combien de posts ouverts sur le même sujet ?
Pour secuser, apès le message d\'erreur cité et l\'installation du contrôle activeX, il faut revenir sur la page précédente ; ne pas fermer le site. Et là ça marche.

Bonjour,

Télécharge ce fix : siri.urz.free.fr/Fix/SmitfraudFix.zip et extrais tous les fichiers sur le bureau



(Si ton anti-virus se manifeste, n'en tiens pas compte, c'est une fausse alerte)

process.exe (contenu dans le zip) est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Une fois extrait, tu te trouves face à 8 fichiers. Double-clique sur [S]SmitfraudFix.cmd (celui avec la roue dentée)[/S] et laisse-toi guider...
Suis scrupuleusement la procédure décrite ici : siri.urz.free.fr/Fix/SmitfraudFix.php (y compris cette option (qui devrait être obligatoire) sans laquelle tu risquerais de re-choper Smitfraud...)

Pour effacer la liste des sites de confiance et sensibles, sélectionner 3 et pressez Entrée dans le menu.
A la question: Réinitialiser la liste des sites de confiance et sensibles ? répondre O (oui) et pressez Entrée afin de restaurer les zones de confiances et sensibles.

Bonne chance !

bonjour,le probleme c\'est que tu as ouvert plusieurs posts,,du coup c\'est un peu complique [°)]

Oups, salut Pazto, j\'avais pas vu...

et moi je ne t\'avais pas vu non plus Quicksilver

Ben moi non plus Salut Patou aussi

J'va aller bosser [°)]

Bonsoir,

Je suis désolée d\'avoir ouvert autant de postes. Je ne le ferai plus, promis! :0) En tout cas, un grand merci à tous pour vos réponses!

Bonne nouvelle! Bitdefender a résolu mon problème! J\'étais infectée par le troyen Patched.B, et depuis qu\'il l\'a éradiqué, spybot ne détecte plus Smitfraud-C.
Ouf! Je sais de nouveau lire mes mails sur yahoo et aller sur le site de memoclic. (mais pas encore ceux de hotmail, bizarre ça, non? en fait, je coupe directement car je vois qu\'il y a plein de trucs qui se téléchargent le temps d\'ouvrir la page.)

Ce qui m\'interpelle encore, c\'est que les trucs relevés par hijackthis reviennent à chaque fois que j\'allume mon pc; je les ai fait évaluer par www.hijackthis.de qui les classe soit comme \"méchants\" (en rouge) soit comme \"inutiles mais de préférence à effacer\" (jaune). Je les ai enlevés aussi en mode sans échec, mais sans succès.

Qu\'en pensez-vous?

PS: je ne vois pas où je dois cliquer pour dire que les problèmes Smitfraud-C et spy falcon sont résolus

Ce qui m\'interpelle encore, c\'est que les trucs relevés par hijackthis reviennent à chaque fois que j\'allume mon pc

En fait, les trucs en question se lancent à chaque démarrage de ton ordi ; il faudrait d\'abord les désactiver avant tout nettoyage, celui-ci de préférence en mode sans échec et en ayant pris soin de désactiver provisoirement la restau système.

1. La liste de démarrage : Installe ce petit utilitaire tout léger, www.trad-fr.com/Fiches/fiche_StartupRun.htm, et désactive tout (icone stationnement interdit) sauf ton pare-feu et éventuellement ton anti-virus s\'il est en résident (Il n\'y a aucun risque, les programmes en question ne seront pas désinstallés, seulement désactivés du démarrage de ton ordi)

2. Les services actifs : refais un scan Hijackthis et repère les lignes 023. Fais Démarrer > Exécuter > services.msc et dans la liste qui s\'ouvre, désactive les services en question.

3. Pour désactiver la restauration système : Touches Windows+Pause > onglet Restau Système > Désactiver la restauration du système.
[Edit] Après redémarrage et nettoyage en mode sans échec, n\'oublie pas de la réactiver, à moins que tu ne t\'en serves pas...

Là, ça devrait marcher

Merci quicksilver! ça a marché! Tous les \"mauvais\" fichiers sont partis. J\'espère qu\'ils ne reviendront plus!

Bien content pour toi

Si tout roule dans les prochains jours, profites-en pour supprimer pour de bon les éléments désactivés dans Startuprun !

Bonjour,

Heu! je crois que je me suis réjouie trop vite car je viens de faire un hijack et j\'ai constaté que les trucs étaient de nouveau là. Est-ce que c\'est parce que j\'ai réactivé les programmes?
Et si je les supprime, alors je ne saurai plus les utiliser!

Et avant de créer pleins de topics sur le même sujet, lire ça :
www.memoclic.com/forum/technique/216244/forumsmemoclicmoded_emploi.html

Bonjour Miss114,

Oui je sais, PAZTO245 m\'avait déjà fait la remarque hier (cf; ci-dessus). J\'ai lu le mode d\'emploi sur le lien que tu m\'as transmis (merci!) , je ne recommencerai plus, c\'est promis!

Mais mon pb n\'est pas tout à fait résolu, et comme je ne sais pas si ça a un rapport ou non avec troyen que je m\'étais chopé, que dois-je faire: ouvrir un autre poste ou continuer sur celui-ci?

Continue sur celui-ci, c\'est plus simple

Bonjour,

je viens de faire un hijack et j\'ai constaté que les trucs étaient de nouveau là. Est-ce que c\'est parce que j\'ai réactivé les programmes?

Ben oui, il ne fallait surtout pas les réactiver... Le but de la manoeuvre était de les désactiver provisoirement (en cliquant sur l\'icone stationnement interdit) et de voir s\'ils apparaissent encore dans Hijackthis. Comme le test était concluant, tu aurais dû les virer pour de bon. Mais je me suis mal expliqué.

Et si je les supprime, alors je ne saurai plus les utiliser!

Tu ne les supprimes [S]que du démarrage de ton ordi[/S]. Ils ne sont pas désinstallés, ils sont toujours là, simplement ils ne se chargent pas quand tu allumes ta machine. C\'est le seul moyen pour Hijackthis de faire un nettoyage efficace... (que personnellement je conclurais par Spybot, Ewido et a² Free)

On peut peut-être t\'aider à y voir un peu plus clair ; peux-tu refaire un log Hijackthis et nous copier ici les lignes 04 et 023 (je suppose que tu as réactivé les services aussi ?)

Bonjour,

Je viens de refaire un hijack et je vois qu\'il y a des trucs \"méchants\" qui se sont ajoutés aux premiers. Je joins la totalité du log pour que vous ayez une idée plus claire:
Quicksilver, je vais refaire ce que tu m\'avais conseillé (je ne laisserai activés que spybot et symantec antivirus / je ne vois pas mon pare-feu) et je supprimerai le tout.


Logfile of HijackThis v1.99.1
Scan saved at 16:00:34, on 4/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\\WINDOWS\\System32\\smss.exe
C:\\WINDOWS\\system32\\winlogon.exe
C:\\WINDOWS\\system32\\services.exe
C:\\WINDOWS\\system32\\lsass.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\WINDOWS\\system32\\spoolsv.exe
C:\\WINDOWS\\Explorer.EXE
C:\\Program Files\\Symantec_Client_Security\\Symantec AntiVirus\\DefWatch.exe
C:\\PROGRA~1\\Iomega\\System32\\AppServices.exe
C:\\Program Files\\Fichiers communs\\Microsoft Shared\\VS7Debug\\mdm.exe
C:\\Program Files\\Iomega HotBurn Pro\\Autolaunch.exe
C:\\WINDOWS\\system32\\rundll32.exe
C:\\Program Files\\Java\\jre1.5.0_01\\bin\\jusched.exe
C:\\PROGRA~1\\SYMANT~1\\SYMANT~1\\vptray.exe
C:\\WINDOWS\\system32\\ctfmon.exe
C:\\Program Files\\Spybot - Search & Destroy\\TeaTimer.exe
C:\\Program Files\\Symantec_Client_Security\\Symantec AntiVirus\\Rtvscan.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\Program Files\\Internet Explorer\\iexplore.exe
C:\\Documents and Settings\\djvince\\Bureau\\HijackThis.exe

R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = http://www.hotmail.com/
R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\\..\\Run: [Drag\'n\'Drop_Autolaunch] \"C:\\Program Files\\Iomega HotBurn Pro\\Autolaunch.exe\"
O4 - HKLM\\..\\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\\..\\Run: [SunJavaUpdateSched] C:\\Program Files\\Java\\jre1.5.0_01\\bin\\jusched.exe
O4 - HKLM\\..\\Run: [vptray] C:\\PROGRA~1\\SYMANT~1\\SYMANT~1\\vptray.exe
O4 - HKLM\\..\\Run: [QuickTime Task] \"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime
O4 - HKLM\\..\\Run: [HPDJ Taskbar Utility] C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb10.exe
O4 - HKCU\\..\\Run: [MyWebSearch Email Plugin] C:\\PROGRA~1\\MYWEBS~1\\bar\\2.bin\\mwsoemon.exe
O4 - HKCU\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\ctfmon.exe
O4 - HKCU\\..\\Run: [SpybotSD TeaTimer] C:\\Program Files\\Spybot - Search & Destroy\\TeaTimer.exe
O4 - Global Startup: Lancement rapide d\'Adobe Reader.lnk = C:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm073
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\\bdoscandel.exe (file missing)
O9 - Extra \'Tools\' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe
O9 - Extra \'Tools\' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe
O16 - DPF: {0884DBCD-21DC-433B-B538-31C7F2843462} -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {64FFAEE0-B939-43BC-925A-4DDF43B9128B} -
O16 - DPF: {70B019C1-3850-4F3D-AA0E-AFD635D2F4C5} -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://80.200.133.202/IWeb/ActiveX/msxml4.cab
O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} -
O17 - HKLM\\System\\CCS\\Services\\Tcpip\\..\\{25017341-8A6A-4D07-B54A-40BC219C503A}: NameServer = 193.74.208.135,193.121.171.135
O17 - HKLM\\System\\CS1\\Services\\Tcpip\\..\\{25017341-8A6A-4D07-B54A-40BC219C503A}: NameServer = 193.74.208.135,193.121.171.135
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - \"C:\\PROGRA~1\\MSNMES~1\\msgrapp.dll\" (file missing)
O20 - Winlogon Notify: NavLogon - C:\\WINDOWS\\system32\\NavLogon.dll
O23 - Service: ADSLAutoconnect - Unknown owner - C:\\Program Files\\ADSL Autoconnect\\ADSL Autoconnect.exe\" -z (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\\Program Files\\Symantec_Client_Security\\Symantec AntiVirus\\DefWatch.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\\PROGRA~1\\Iomega\\System32\\AppServices.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner - C:\\Program Files\\Norton Internet Security\\Norton AntiVirus\\navapsvc.exe (file missing)
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\\Program Files\\Symantec_Client_Security\\Symantec AntiVirus\\Rtvscan.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\\Program Files\\Fichiers communs\\Symantec Shared\\Security Center\\SymWSC.exe

Commence par supprimer ces saletés, et ne réinstalle pas Mywebsearch et sa toolbar qui sont des cochonneries.
O4 - HKCU\\..\\Run: [MyWebSearch Email Plugin] C:\\PROGRA~1\\MYWEBS~1\\bar\\2.bin\\mwsoemon.exe[
O4 - HKCU\\..\\Run: [MyWebSearch Email Plugin] C:\\PROGRA~1\\MYWEBS~1\\bar\\2.bin\\mwsoemon.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm073

et lis ça www.zebulon.fr/articles/HijackThis.php
si ta page d\'acceuil est squattée par un site qui s\'impose www.ordi-netfr.org/tutorialhijackthis.php

Est-ce que c\'est parce que j\'ai réactivé les programmes?
Et si je les supprime, alors je ne saurai plus les utiliser

de quels programmes parles-tu? Si ce sont des saletés tu les supprimes et tu t\'en passes.

Bonsoir Grolou,

J\'ai supprimé les lignes et depuis, spybot ne trouve plus aucun mouchard. Ouf!
Et les programmes dont je parlais sont ceux relevés par le programme StartupRun, conseillé par Quicksilver. J\'ai tout désactivé sauf spybot et vptray (symantec antivirus) et tout semble marcher normalement donc je suppose que je peux tout supprimer. Ce sont les suivants:

Adobe Gamma Loader
ctfmon.exe
Drag\'n\'Drop_Autolaunch
Lancement rapide d\'Adobe Reader
MCAgentExe
MCAgentExe
Microsoft Office
msnappau
msnmsgr
QuickTime Task
SunJavaUpdateSched
VirusScan Online
VSOCheckTask

Oui, tu peux en effet désactiver tout celà au démarrage; les programmes seront toujours là, mais ils dormiront tant que tu n\'en as pas besoin.

Oui, tu peux en effet désactiver tout celà au démarrage; les programmes seront toujours là, mais ils dormiront tant que tu n'en as pas besoin.
Ca ressemble bigrement à la tant décriée "méthode à Pazto"

Bon ben voilà, reste plus grand'chose de méchant à part quelques activeX...


O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
Vieux "objets d'aide à la navigation" qui sont encore inscrits dans la base de registre mais dont les fichiers ne sont plus présents sur ton DD, tu peux supprimer ces lignes.

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
Vieux fichier de Bitdefender manquant, idem.

O16 - DPF: {0884DBCD-21DC-433B-B538-31C7F2843462} -
ActiveX attrapé (par inadvertance) sur un site
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} -
ActiveX RealNetworks
O16 - DPF: {64FFAEE0-B939-43BC-925A-4DDF43B9128B} -
ActiveX IWeb/ivwebtheme.cab
O16 - DPF: {70B019C1-3850-4F3D-AA0E-AFD635D2F4C5} -
ActiveX IWeb/gvview.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) -
ActiveX IWeb/msxml4.cab
O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} -
ActiveX attrapé (par inadvertance) sur un site
A supprimer tous les 6 sans hésiter

(...) les contrôles ActiveX ont accès à tous les fichiers de votre PC auxquels vous-même avez accès, c'est-à-dire, dans la plupart des cas, pratiquement tous. Pour peu que vous ayez visité une seule fois une page contenant un ActiveX, celui-ci est installé de façon permanente sur votre machine, qui plus est, à votre insu si vous n'avez pas paramétré Internet Explorer comme il faut... on imagine ce que cela peut donner si ce contrôle a été conçu dans un but malveillant. Une véritable aubaine pour les créateurs de parasites tels que des chevaux de Troie et autres dialers donc.

www.inoculer.com/activex.php3

De toute manière, si un programme, légitime ou non, a besoin d'un activeX pour fonctionner (Macromedia Shockwave, WGA validation tool, etc.), il le réinstallera de lui-même.
Ce sera à toi d'être vigilante et de bien savoir à qui tu as affaire avant de cliquer oui...

Et enfin, le dernier :

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
Fichier appartenant à MSN 7.5 et souvent signalé manquant par erreur par Hijackthis (file missing).
Comme il s'agit d'une fausse alerte, ne supprime pas cette ligne sauf bien sûr si tu n'utilises plus MSN...

Bonjour,

J\'ai effacé les lignes ci-dessus en mode normal et puis encore une fois en mode sans échec mais les lignes 02 et 016 reviennent à chaque fois.Est-ce que je dois suspendre le processus explorer.exe et décocher la restauration avant d\'effacer tout ça?

Et si j\'ouvre le programme StartUpRun, je constate que ctfmon.exe se réactive tout seul, alors que tous les autres restent désactivés. Quicksilver, faut-il que je supprime tous les trucs désactivés (avec la petite croix?)

Ce n\'est pas parce que tu supprimes ctfmon dans msconfig qu\'il est désactivé. support.microsoft.com/?kbid=282599

Pourquoi faire simple quand on peut faire compliqué : récapitulation.
1 - Démarrer > exécuter > taper "msconfig" >
Démarrage > démarrage sélectif > tout décocher (sauf le pare-feu) ce qui veut dire même l'antivirus...
Reboot.
2 - Hijackthis > décocher tout Quand je dis "tout" , c'est : TOUT Et ça s'écrit T.O.U.T.
Reboot
3 - Poste de travail > clic droit > gérer > services et applications > services > tout mettre sur automatique

CQFD
Tu n'auras plus aucun souci de quelqu' ordre que ce soit !
Merci XP (et à la méthode à Pazto, bien sûr)

Le problème avec ctfmon, c\'est qu\'il existe en 3 versions dont deux sont installées par des cochonneries. Elles sont faciles à reconnaître, elles apparaissent sous des dénominations différentes dans StartupRun et dans C\\Windows\\System32 :



assiste.free.fr/p/pacman/pacman_c.php

Il semble bien que c\'est la 3ème mais je peux me tromper, peux-tu nous le confirmer ?


Salut Pazto, Startuprun = msconfig mais en moins contraignant, pas de démarrage sélectif et inutile de rebooter, les modifs sont appliquées de suite. De plus, ctfmon est réactivé aussitôt.
Quant à mettre tous les services en automatique, ça c\'est ben la 1ère fois qu\'on me la fait ! tu te renseignes jamais avant de poster et dire n\'importe quoi ?
speedweb1.free.fr/frames2.php?page=service4

tu te renseignes jamais avant de poster et dire n\'importe quoi

Non, et , oui ....
Très digne de toi ce lien documenté que je ne connaissais pas.
Je fais confiance : à :
- mon pare-feu, (et ses autorisations) bureau et assistance cochés.
- à l\'option \"panneau de configuration > système > assistance (décochée)
- ma propension à la paranoïa très discrète en ce moment !

Ce n\'est pas une question de paranoïa mais simplement du bon sens; tu vas pas laisser ton ordi ouvert à tous les vents et le laisser (par exemple) se transformer en pc zombi utilisé par un autre pour, par exemple encore, inonder la planète entière de spams (ça arrive, d\'autant plus à ceux qui n\'ont même pas un pare-feu filtrant les sorties...), même si tu fais régulièrement tes mises à jour de sécurité. C\'est non seulement de l\'inconscience mais en plus du pur mépris envers les autres...

Enfin, ce que j\'en dis, moi... [°)]

Tiens, l\'exemple d\'un des svchost :

Accès à distance au Registre
Nom de l\'exécutable : svchost.exe
Nom interne : remote registry
Description : Permet aux utilisateurs à distance de modifier les paramètres du Registre sur cet ordinateur
Il dépend de : RPC
Dépendent de lui : aucun
Commentaire : Bien, voyons, c\'est autoriser tout le monde à modifier votre base de registre, ce service est à fermer en priorité, pourquoi le service pack 2 de XP laisse toujours ce service \"automatique\" par défaut ? - Eux qui combattent les problèmes de sécurité !!!
Pour des raisons évidentes de sécurité, ce service doit être \"Désactivé\". Ce service n\'est pas présent sur XP Home.

services > tout mettre sur automatique

ça, c\'est vraiment colossal.

tout décocher (sauf le pare-feu) ce qui veut dire même l\'antivirus

c\'est ça, et si le pc a un virus de boot il sera bien au chaud. C\'est vraiment n\'importe quoi.

Toi, tu fais ce que tu veux sur ton pc. Tu te trouves bien comme ça, tant mieux pour toi. Mais n\'incite pas les autres à faire n\'importe quoi. Et assimiler cela à de la paranoïa, alors que ce n\'est que de la prudence, prouve une méconnaissance énorme des problèmes de sécurité.
a.vouillon.free.fr/28.htm
babin.nelly.free.fr/sv.htm

Ce service n\'est pas présent sur XP Home.

Oui, Remote Registry n\'existe que sous XP pro.
www.theeldergeek.com/remote_registry.htm
web.archive.org/web/20041128084144/www.blackviper.com/WinXP/servicecfg.htm

Pour en revenir à nos moutons...

J\'ai effacé les lignes ci-dessus en mode normal et puis encore une fois en mode sans échec mais les lignes 02 et 016 reviennent à chaque fois.

Les lignes 02 correspondent à d\'anciens fichiers Acrobat, Spybot, MSN, etc. qui ne sont plus présents sur ton ordi et qui ont été remplacés par des nouveaux (lors d\'une réinstallation, ou d\'une mise à jour plus probablement).
Regarde, en mode normal (je ne sais pas si tu y a accès en mode sans échec), si tu ne les as pas en double dans IE > Outils > Gérer les modules complémentaires > Modules complémentaires [S]qui ont été utilisés[/S] par Internet Explorer. Tu peux désactiver toutes tes lignes 02 et 016 à partir de là...

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
Acrobat AcroIEhelper
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
Spybot SDhelper
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
MSN Toolbar
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
TeaTimer (Spybot)
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
MSN Toolbar
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
Norton Antivirus Nav Helper
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
Microsoft Money

Est-ce que je dois suspendre le processus explorer.exe et décocher la restauration avant d\'effacer tout ça?

Je crois que ce sera impossible avec explorer.exe suspendu mais en tout cas :
1. Décoche la restauration système
2. Redémarre en mode sans échec
3. Vire les lignes 02 et 016 d\'Hijackthis (si elles sont encore là)
et n\'oublie pas de réactiver la restauration système.

faut-il que je supprime tous les trucs désactivés (avec la petite croix?)

Oui

Bonsoir,

Je suis allée voir dans outils>gerer les modules complémentaires> ... mais les programmes 02 en question ne s\'y trouvent pas.

Dans StartupRun, c\'est indiqué ctfmon.exe (avec pour icône un stylo sur une feuille) et dans window (system 32) c\'est écrit simplement ctfmon (avec le même icône), mais maintenant je me rappelle que spybot a trouvé quelque fois CoolWWWsearch.Feat2Installer. Maintenant, il relève toujours Windows Security Center.AntivirusOverride

J\'ai tout supprimé dans StartupRun, mais pas spybot ni vptray (je ne sais pas si c\'est ça, mon pare-feu) - j\'attends ton feu vert, quicksilver.

vptray c\'est ce qui te donne la fenêtre de Norton antivirus pour le régler ou lancer tes scans.
AntivirusOverride il faut lire ici www.memoclic.com/forum/technique/210369/commentinterpreterunmessagedespybot.html

Pour tes BHO, dans Spybot tu as une fonction pour les afficher et les supprimer, regarde ce tutoriel perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm
et profite du coup pour régler spybot.

merci pour l\'info grolou, donc, d\'après tout ce que j\'ai lu, ce doit être qqch qui essaie de passer outre mes sécurités, car je n\'avais pas ce message avant; j\'ai ça depuis quelques semaines seulement.Je le supprime à chaque fois (euh, il est mis en quarantaine plutôt - je n\'ai pas les mêmes fenêtres que celles du lien que tu as joint, à mon avis ma version spybot est plus ancienne)

oups! je n\'avais pas vu la deuxième partie de ton message. J\'avoue que je n\'ai jamais rien réglé sur spybot, tout doit être mis \"par défaut\" je suppose. Mais je vais regarder ça d\'un peu plus près cette semaine. Merci!

Pour spybot, Onglet Mode > Mode avancé> Outils> BHO

Grolou, j'avais pas pensé à Spybot.
On peut aussi y virer les activeX, s'il en reste parmi les 6.

Pour Coolwebsearch et ses variantes il existe un nettoyeur spécialisé, CWShredder :
www.intermute.com/spysubtract/cwshredder_download.html
Une fois installé, fais un "Check for update" et clique simplement sur Fix.

Pour compléter le nettoyage, passe un coup de MiniRemoval Smartsearch, spécialement conçu par les créateurs de Spybot pour une variante particulièrement insidieuse de Coolwebsearch :
www.safer-networking.org/minifiles.html


Ca dure une seconde. Si tu as ce message, c'est tout bon, tu n'as pas la variante

Et pour finir, passe un coup de CCleaner, version Basic
www.ccleaner.com/downloadbuilds.asp
A l'install, [S]décoche "Installer la barre d'outils Yahoo CCleaner[/S]" (mais normalement elle n'est pas proposée dans la version Basic)


Sous le bouton Erreurs, clique sur "Chercher des erreurs" et "Réparer les erreurs sélectionnées" autant de fois que nécessaire, jusqu'à ce que CCleaner ne trouve plus rien. Comme pour tout nettoyeur de registre, plusieurs passes sont nécessaires.
A la question "Voulez-vous créer une sauvegarde", réponds oui et choisis un emplacement, le bureau par exemple... (Si plusieurs sauvegardes te sont proposées, ne garde que la première, tu peux répondre non aux suivantes).


Bien entendu, fais tout ça en mode sans échec, la restau suspendue, dans la foulée de mon post précédent.


Feu vert

Bonsoir,

J\'ai supprimé les fichiers 02 sans problème, par contre, impossible d\'enlever les activeX (il y a un malware (Netster) dans la série: 56336BCB-3D8A-11D6-A00B-0050DA18DE71

Je vais essayer avec CWShredder, on verra bien.

CWShredder n\'a rien trouvé mais j\'ai fait aller CC cleaner et il trouvé énormément d\'erreurs (467 la première fois! ), je l\'ai passé plusieurs fois et maintenant il n\'y a plus d\'erreurs. J\'ai cliqué aussi sur \"analyse\" et puis sur \"nettoyage\" et tout a été nettoyé. Mais les fichiers 02 reviennent quand même à chaque fois et je ne sais toujours pas effacer les 016. Et nouveauté:je ne sais plus passer en mode sans échec!!!

Bonsoir.
C\'est à se demander si tu as le sp2.
Et si windows est à jour de ses updates.
Et si tu as lu mon post d\'hier à 13 h 44........

Bonsoir PAZT0245,

Oui = réponse à tes trois questions mais par rapport à ton post, vu les réactions que ça a entraîné de la part d\'autres memocliqueurs, je préfère ne pas suivre cette procédure.
Si tu as une autre idée, je suis tout ouïe...

Si tu sais faire un point de restauration, fais-le, avant de te lancer, tu ne risques rien.
Tu pourra toujours revenir en arrière si ça ne convient pas.
Je serais le seul à m\'attirer les foudres !

Bonsoir,

D\'après le site de Symantec, Netster (si c\'est bien le même que le tien) serait dans Ajout/suppression de programmes...

Voici la procédure de désinstallation qu\'ils donnent :
1. Désinstaller Netster via Ajout/suppression de programmes
2. Faire un scan complet de l\'ordi avec Norton
3. Ouvrir l\'éditeur du registre (Démarrer > Exécuter > taper regedit) et se rendre à la clé suivante :
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Toolbar
Dans le volet de droite, supprimer la valeur {8E718888-423F-11D2-876E-00A0C9082467}
(et, bien sûr, si elle y figure, ta valeur 56336BCB-3D8A-11D6-A00B-0050DA18DE71, ou d\'autres valeurs de tes listes 016 et 02...)
4. quitter l\'éditeur du registre.
www.symantec.com/avcenter/venc/data/spyware.smartbrowse.html

Désolé, je n\'ai pas d\'autre idée pour ce soir, je commence à sécher...

Pour les lignes 02 récalcitrantes, je pense à un truc. Si on n'arrive pas à les supprimer, ce ne serait pas tout simplement parce que les processus ou services associés sont encore en cours, bien que leurs fichiers n'existent plus...

Il faudrait que tu voies si ces éléments : Adobe Acrobat, Spybot, SDhelper, TeaTimer, MSN, Symantec, Norton et Microsoft Money sont encore listés comme processus dans le gestionnaire des tâches (Ctrl+Alt+Suppr onglet Processus). Si c'est le cas il faut les terminer pour pouvoir virer les BHO récalcitrants. Mais je n'y crois qu'à moitié, il faudrait plutôt voir dans les services...

Démarrer > Exécuter > services.msc. Dans la liste, repère les items en question et passe-les provisoirement en désactivé, le temps de fixer les BHO dans Hijackthis. Ensuite il faudra réactiver les services, puisque tu te sers encore de ces programmes.

Normalement, de nouvelles lignes 02 devraient apparaître dans Hijackthis, mais les bonnes cette fois-ci, sans la mention "- no file" derrière...


Supprimer des trucs qui doivent réapparaître Finalement, qu'est-ce qu'on se prend le chou pour pas grand-chose !!

Bonsoir,

J\'ai suivi ta procédure, quicksilver, mais quand je clique sur toolbar, il n\'y a rien dans le volet de droite (Nom:ab (par défaut) - Type: REG_SZ - Données: valeurs non définies)
J\'ai réglé spybot en suivant les conseils > lien de Grolou et j\'ai remarqué qu\'il était impossible d\'enlever les ActiveX en question (016), dont le malware Netster, que dans le démarrage système il y a un truc méchant selon le commentaire de spybot (ctfmon.exe) et donc je l\'ai décoché.Mais quand j\'ai redémarré mon pc, une nouvelle ligne ctfmon.exe s\'est inscrite (cochée elle).
Voilà où j\'en suis. Je ne sais toujours plus aller sur mon adresse hotmail et je n\'ose bien sûr plus utiliser le pc banking.

Bonjour,

Je suis à court d\'idées
Essaie quand même un dernier nettoyage de ton ordi avec a² Free et Ewido...
a² Free : www.emsisoft.net/fr/software/free/. A la 1ère utilisation, une clé d\'activation gratuite te sera envoyée par mail.
Ewido : www.ewido.net/en/download/ (en version d\'évaluation pdt 14 jours, ensuite les mises à jour ne seront plus automatiques et le gardien d\'arrière-plan désactivé mais tu pourras continuer à l\'utiliser sans problème en faisant les mises à jour manuellement).
Ces deux programmes complètent efficacement Spybot

Si cela de donne rien de plus, je te conseille de soumettre ton log chez l\'ami Terdef assiste.forum.free.fr/viewforum.php?f=70. Il y a là-bas une charmante coccinelle, mais néanmoins redoutable tueuse de parasites. Elle te rendra ton ordi tout propre.

Bon courage pour la suite.

il y a un truc méchant selon le commentaire de spybot (ctfmon.exe

Le processus CTFMON, est lié à Microsoft Office ; en effet ce processus permet la gestion de la biométrie ; écriture vocale, écriture manuelle via une palette graphique ou Tablet PC, interaction spécifique avec le clavier. www.faqxp.com/f/593.asp
spybot te dit n\'importe quoi sur ce coup. ctfmon.exe est sans aucun danger s\'il est dans c:\\windows\\System32; sinon c\'est une saleté.

donc je l\'ai décoché.Mais quand j\'ai redémarré mon pc, une nouvelle ligne ctfmon.exe s\'est inscrite (cochée elle

oui, tu n\'as pas lu ce que je t\'ai dit sur ce processus à la page pécédente.

Le CLSID de Netster c\'est {34805D32-AD89-469E-8503-A5666AEE4333}. Si tu l\'as tu dois le trouver. Bien entendu les ActiveX ne fonctionnenet qu\'avec Internet explorer, d\'où la pertinence du choix d\'un autrte navigateur (Opera, Firefox).
Pour les BHO récalcitants, il y a BHO Demon www.majorgeeks.com/download3550.html