virus ou troyen impossible à supprimer - Smitfraud

isavince isavince
31 contributions
Membre depuis le 26/07/2005
Envoyé le 29/05/2006 à 23:35


Bonsoir à tou(te)s,

Je n\'ai malheureusement toujours pas pu éradiquer le virus de mon pc (Smitfraud-C) et j\'ai voulu faire un scan avec secuser, ça ne marche pas.

Voici ce qui est indiqué sur le site:

Either your browser does not support the object element or an error occurred while downloading the object. Unable to load the HouseCall ActiveX control.

J\'ai installé le contrôle ActiveX mais ça n\'a rien changé.

Le pire, c\'est que cette saleté me pique mes mots de passe et supprime mes pages de bureau.

J\'ai supprimé aussi tous les fichiers \"méchants\" repérés par hijackthis mais ils reviennent à chaque fois que j\'allume mon pc.

Que faire???

PAZTO245 PAZTO245
9 910 contributions
Membre depuis le 22/06/2004
Envoyé le 30/05/2006 à 07:45


Bonjour
Combien de posts ouverts sur le même sujet ? (-)
Pour secuser, apès le message d\'erreur cité et l\'installation du contrôle activeX, il faut revenir sur la page précédente ; ne pas fermer le site. Et là ça marche.
Beethoven était sourd, ça dépasse l' entendement.
* quick 
Anonyme
Envoyé le 30/05/2006 à 08:08 Modifié par Modifié par quicksilver le 30/

Bonjour,

Télécharge ce fix : siri.urz.free.fr/Fix/SmitfraudFix.zip et extrais tous les fichiers sur le bureau



(Si ton anti-virus se manifeste, n'en tiens pas compte, c'est une fausse alerte)

process.exe (contenu dans le zip) est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Une fois extrait, tu te trouves face à 8 fichiers. Double-clique sur [S]SmitfraudFix.cmd (celui avec la roue dentée)[/S] et laisse-toi guider...
Suis scrupuleusement la procédure décrite ici : siri.urz.free.fr/Fix/SmitfraudFix.php (y compris cette option (qui devrait être obligatoire) sans laquelle tu risquerais de re-choper Smitfraud...)

Pour effacer la liste des sites de confiance et sensibles, sélectionner 3 et pressez Entrée dans le menu.
A la question: Réinitialiser la liste des sites de confiance et sensibles ? répondre O (oui) et pressez Entrée afin de restaurer les zones de confiances et sensibles.


Bonne chance !

patou2 patou2
14 281 contributions
Membre depuis le 22/03/2005
Envoyé le 30/05/2006 à 08:09


bonjour,le probleme c\'est que tu as ouvert plusieurs posts,,du coup c\'est un peu complique [°)]
J'ai allumé le soleil pour cet enfant dans son sommeil, J'ai réveillé la chaleur pour éclairer et sécher ses pleurs
* quick 
Anonyme
Envoyé le 30/05/2006 à 08:10

Oups, salut Pazto, j\'avais pas vu... [:Z]

patou2 patou2
14 281 contributions
Membre depuis le 22/03/2005
Envoyé le 30/05/2006 à 08:11


et moi je ne t\'avais pas vu non plus Quicksilver [:)(]
J'ai allumé le soleil pour cet enfant dans son sommeil, J'ai réveillé la chaleur pour éclairer et sécher ses pleurs
* quick 
Anonyme
Envoyé le 30/05/2006 à 08:15

Ben moi non plus [:D] Salut Patou aussi

J'va aller bosser [°)]

isavince isavince
31 contributions
Membre depuis le 26/07/2005
Envoyé le 30/05/2006 à 22:34


Bonsoir,

Je suis désolée d\'avoir ouvert autant de postes. Je ne le ferai plus, promis! :0) En tout cas, un grand merci à tous pour vos réponses!

Bonne nouvelle! Bitdefender a résolu mon problème! J\'étais infectée par le troyen Patched.B, et depuis qu\'il l\'a éradiqué, spybot ne détecte plus Smitfraud-C.
Ouf! Je sais de nouveau lire mes mails sur yahoo et aller sur le site de memoclic. (mais pas encore ceux de hotmail, bizarre ça, non? en fait, je coupe directement car je vois qu\'il y a plein de trucs qui se téléchargent le temps d\'ouvrir la page.)

Ce qui m\'interpelle encore, c\'est que les trucs relevés par hijackthis reviennent à chaque fois que j\'allume mon pc; je les ai fait évaluer par www.hijackthis.de qui les classe soit comme \"méchants\" (en rouge) soit comme \"inutiles mais de préférence à effacer\" (jaune). Je les ai enlevés aussi en mode sans échec, mais sans succès.

Qu\'en pensez-vous?

PS: je ne vois pas où je dois cliquer pour dire que les problèmes Smitfraud-C et spy falcon sont résolus


* quick 
Anonyme
Envoyé le 31/05/2006 à 08:19 Modifié par Modifié par quicksilver le 31/

Ce qui m\'interpelle encore, c\'est que les trucs relevés par hijackthis reviennent à chaque fois que j\'allume mon pc

En fait, les trucs en question se lancent à chaque démarrage de ton ordi ; il faudrait d\'abord les désactiver avant tout nettoyage, celui-ci de préférence en mode sans échec et en ayant pris soin de désactiver provisoirement la restau système.

1. La liste de démarrage : Installe ce petit utilitaire tout léger, www.trad-fr.com/Fiches/fiche_StartupRun.htm, et désactive tout (icone stationnement interdit) sauf ton pare-feu et éventuellement ton anti-virus s\'il est en résident (Il n\'y a aucun risque, les programmes en question ne seront pas désinstallés, seulement désactivés du démarrage de ton ordi)

2. Les services actifs : refais un scan Hijackthis et repère les lignes 023. Fais Démarrer > Exécuter > services.msc et dans la liste qui s\'ouvre, désactive les services en question.

3. Pour désactiver la restauration système : Touches Windows+Pause > onglet Restau Système > Désactiver la restauration du système.
[Edit] Après redémarrage et nettoyage en mode sans échec, n\'oublie pas de la réactiver, à moins que tu ne t\'en serves pas...

Là, ça devrait marcher (+)

isavince isavince
31 contributions
Membre depuis le 26/07/2005
Envoyé le 31/05/2006 à 21:57


Merci quicksilver! ça a marché! Tous les \"mauvais\" fichiers sont partis. J\'espère qu\'ils ne reviendront plus!

* quick 
Anonyme
Envoyé le 01/06/2006 à 07:09

Bien content pour toi (+)

Si tout roule dans les prochains jours, profites-en pour supprimer pour de bon les éléments désactivés dans Startuprun !



isavince isavince
31 contributions
Membre depuis le 26/07/2005
Envoyé le 01/06/2006 à 14:03


Bonjour,

Heu! je crois que je me suis réjouie trop vite car je viens de faire un hijack et j\'ai constaté que les trucs étaient de nouveau là. Est-ce que c\'est parce que j\'ai réactivé les programmes?
Et si je les supprime, alors je ne saurai plus les utiliser!

MISS114 MISS114
3 623 contributions
Membre depuis le 24/02/2002
Envoyé le 01/06/2006 à 14:58


Et avant de créer pleins de topics sur le même sujet, lire ça :
www.memoclic.com/forum/technique/216244/forumsmemoclicmoded_emploi.html [8D]
Guillemette Memo + La Fauvette + Mamietitine
isavince isavince
31 contributions
Membre depuis le 26/07/2005
Envoyé le 01/06/2006 à 16:50


Bonjour Miss114,

Oui je sais, PAZTO245 m\'avait déjà fait la remarque hier (cf; ci-dessus). J\'ai lu le mode d\'emploi sur le lien que tu m\'as transmis (merci!) , je ne recommencerai plus, c\'est promis! [:Z]

Mais mon pb n\'est pas tout à fait résolu, et comme je ne sais pas si ça a un rapport ou non avec troyen que je m\'étais chopé, que dois-je faire: ouvrir un autre poste ou continuer sur celui-ci?

MISS114 MISS114
3 623 contributions
Membre depuis le 24/02/2002
Envoyé le 01/06/2006 à 18:44


Continue sur celui-ci, c\'est plus simple [;)]
Guillemette Memo + La Fauvette + Mamietitine
* quick 
Anonyme
Envoyé le 03/06/2006 à 13:41

Bonjour,

je viens de faire un hijack et j\'ai constaté que les trucs étaient de nouveau là. Est-ce que c\'est parce que j\'ai réactivé les programmes?

Ben oui, il ne fallait surtout pas les réactiver... Le but de la manoeuvre était de les désactiver provisoirement (en cliquant sur l\'icone stationnement interdit) et de voir s\'ils apparaissent encore dans Hijackthis. Comme le test était concluant, tu aurais dû les virer pour de bon. Mais je me suis mal expliqué.

Et si je les supprime, alors je ne saurai plus les utiliser!

Tu ne les supprimes [S]que du démarrage de ton ordi[/S]. Ils ne sont pas désinstallés, ils sont toujours là, simplement ils ne se chargent pas quand tu allumes ta machine. C\'est le seul moyen pour Hijackthis de faire un nettoyage efficace... (que personnellement je conclurais par Spybot, Ewido et a² Free)

On peut peut-être t\'aider à y voir un peu plus clair ; peux-tu refaire un log Hijackthis et nous copier ici les lignes 04 et 023 (je suppose que tu as réactivé les services aussi ?)



isavince isavince
31 contributions
Membre depuis le 26/07/2005
Envoyé le 04/06/2006 à 16:28


Bonjour,

Je viens de refaire un hijack et je vois qu\'il y a des trucs \"méchants\" qui se sont ajoutés aux premiers. Je joins la totalité du log pour que vous ayez une idée plus claire:
Quicksilver, je vais refaire ce que tu m\'avais conseillé (je ne laisserai activés que spybot et symantec antivirus / je ne vois pas mon pare-feu) et je supprimerai le tout.


Logfile of HijackThis v1.99.1
Scan saved at 16:00:34, on 4/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\\WINDOWS\\System32\\smss.exe
C:\\WINDOWS\\system32\\winlogon.exe
C:\\WINDOWS\\system32\\services.exe
C:\\WINDOWS\\system32\\lsass.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\WINDOWS\\system32\\spoolsv.exe
C:\\WINDOWS\\Explorer.EXE
C:\\Program Files\\Symantec_Client_Security\\Symantec AntiVirus\\DefWatch.exe
C:\\PROGRA~1\\Iomega\\System32\\AppServices.exe
C:\\Program Files\\Fichiers communs\\Microsoft Shared\\VS7Debug\\mdm.exe
C:\\Program Files\\Iomega HotBurn Pro\\Autolaunch.exe
C:\\WINDOWS\\system32\\rundll32.exe
C:\\Program Files\\Java\\jre1.5.0_01\\bin\\jusched.exe
C:\\PROGRA~1\\SYMANT~1\\SYMANT~1\\vptray.exe
C:\\WINDOWS\\system32\\ctfmon.exe
C:\\Program Files\\Spybot - Search & Destroy\\TeaTimer.exe
C:\\Program Files\\Symantec_Client_Security\\Symantec AntiVirus\\Rtvscan.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\Program Files\\Internet Explorer\\iexplore.exe
C:\\Documents and Settings\\djvince\\Bureau\\HijackThis.exe

R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = http://www.hotmail.com/
R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\\..\\Run: [Drag\'n\'Drop_Autolaunch] \"C:\\Program Files\\Iomega HotBurn Pro\\Autolaunch.exe\"
O4 - HKLM\\..\\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\\..\\Run: [SunJavaUpdateSched] C:\\Program Files\\Java\\jre1.5.0_01\\bin\\jusched.exe
O4 - HKLM\\..\\Run: [vptray] C:\\PROGRA~1\\SYMANT~1\\SYMANT~1\\vptray.exe
O4 - HKLM\\..\\Run: [QuickTime Task] \"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime
O4 - HKLM\\..\\Run: [HPDJ Taskbar Utility] C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb10.exe
O4 - HKCU\\..\\Run: [MyWebSearch Email Plugin] C:\\PROGRA~1\\MYWEBS~1\\bar\\2.bin\\mwsoemon.exe
O4 - HKCU\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\ctfmon.exe
O4 - HKCU\\..\\Run: [SpybotSD TeaTimer] C:\\Program Files\\Spybot - Search & Destroy\\TeaTimer.exe
O4 - Global Startup: Lancement rapide d\'Adobe Reader.lnk = C:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm073
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\\bdoscandel.exe (file missing)
O9 - Extra \'Tools\' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe
O9 - Extra \'Tools\' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe
O16 - DPF: {0884DBCD-21DC-433B-B538-31C7F2843462} -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {64FFAEE0-B939-43BC-925A-4DDF43B9128B} -
O16 - DPF: {70B019C1-3850-4F3D-AA0E-AFD635D2F4C5} -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://80.200.133.202/IWeb/ActiveX/msxml4.cab
O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} -
O17 - HKLM\\System\\CCS\\Services\\Tcpip\\..\\{25017341-8A6A-4D07-B54A-40BC219C503A}: NameServer = 193.74.208.135,193.121.171.135
O17 - HKLM\\System\\CS1\\Services\\Tcpip\\..\\{25017341-8A6A-4D07-B54A-40BC219C503A}: NameServer = 193.74.208.135,193.121.171.135
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - \"C:\\PROGRA~1\\MSNMES~1\\msgrapp.dll\" (file missing)
O20 - Winlogon Notify: NavLogon - C:\\WINDOWS\\system32\\NavLogon.dll
O23 - Service: ADSLAutoconnect - Unknown owner - C:\\Program Files\\ADSL Autoconnect\\ADSL Autoconnect.exe\" -z (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\\Program Files\\Symantec_Client_Security\\Symantec AntiVirus\\DefWatch.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\\PROGRA~1\\Iomega\\System32\\AppServices.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner - C:\\Program Files\\Norton Internet Security\\Norton AntiVirus\\navapsvc.exe (file missing)
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\\Program Files\\Symantec_Client_Security\\Symantec AntiVirus\\Rtvscan.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\\Program Files\\Fichiers communs\\Symantec Shared\\Security Center\\SymWSC.exe





* grolou
Anonyme
Envoyé le 04/06/2006 à 23:33 Modifié par Modifié par grolou le 04/06/20

Commence par supprimer ces saletés, et ne réinstalle pas Mywebsearch et sa toolbar qui sont des cochonneries.
O4 - HKCU\\..\\Run: [MyWebSearch Email Plugin] C:\\PROGRA~1\\MYWEBS~1\\bar\\2.bin\\mwsoemon.exe[
O4 - HKCU\\..\\Run: [MyWebSearch Email Plugin] C:\\PROGRA~1\\MYWEBS~1\\bar\\2.bin\\mwsoemon.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm073

et lis ça www.zebulon.fr/articles/HijackThis.php
si ta page d\'acceuil est squattée par un site qui s\'impose www.ordi-netfr.org/tutorialhijackthis.php


Est-ce que c\'est parce que j\'ai réactivé les programmes?
Et si je les supprime, alors je ne saurai plus les utiliser

de quels programmes parles-tu? Si ce sont des saletés tu les supprimes et tu t\'en passes.




isavince isavince
31 contributions
Membre depuis le 26/07/2005
Envoyé le 05/06/2006 à 00:23


Bonsoir Grolou,

J\'ai supprimé les lignes et depuis, spybot ne trouve plus aucun mouchard. Ouf!
Et les programmes dont je parlais sont ceux relevés par le programme StartupRun, conseillé par Quicksilver. J\'ai tout désactivé sauf spybot et vptray (symantec antivirus) et tout semble marcher normalement donc je suppose que je peux tout supprimer. Ce sont les suivants:

Adobe Gamma Loader
ctfmon.exe
Drag\'n\'Drop_Autolaunch
Lancement rapide d\'Adobe Reader
MCAgentExe
MCAgentExe
Microsoft Office
msnappau
msnmsgr
QuickTime Task
SunJavaUpdateSched
VirusScan Online
VSOCheckTask




* grolou
Anonyme
Envoyé le 05/06/2006 à 00:30

Oui, tu peux en effet désactiver tout celà au démarrage; les programmes seront toujours là, mais ils dormiront tant que tu n\'en as pas besoin.



PAZTO245 PAZTO245
9 910 contributions
Membre depuis le 22/06/2004
Envoyé le 05/06/2006 à 00:39


Oui, tu peux en effet désactiver tout celà au démarrage; les programmes seront toujours là, mais ils dormiront tant que tu n'en as pas besoin.
Ca ressemble bigrement à la tant décriée "méthode à Pazto"
Beethoven était sourd, ça dépasse l' entendement.
* quick 
Anonyme
Envoyé le 05/06/2006 à 03:27 Modifié par Modifié par quicksilver le 05/

Bon ben voilà, reste plus grand'chose de méchant à part quelques activeX...


O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

Vieux "objets d'aide à la navigation" qui sont encore inscrits dans la base de registre mais dont les fichiers ne sont plus présents sur ton DD, tu peux supprimer ces lignes.

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
Vieux fichier de Bitdefender manquant, idem.

O16 - DPF: {0884DBCD-21DC-433B-B538-31C7F2843462} -
ActiveX attrapé (par inadvertance) sur un site [:D]
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} -
ActiveX RealNetworks
O16 - DPF: {64FFAEE0-B939-43BC-925A-4DDF43B9128B} -
ActiveX IWeb/ivwebtheme.cab
O16 - DPF: {70B019C1-3850-4F3D-AA0E-AFD635D2F4C5} -
ActiveX IWeb/gvview.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) -
ActiveX IWeb/msxml4.cab
O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} -
ActiveX attrapé (par inadvertance) sur un site
A supprimer tous les 6 sans hésiter

(...) les contrôles ActiveX ont accès à tous les fichiers de votre PC auxquels vous-même avez accès, c'est-à-dire, dans la plupart des cas, pratiquement tous. Pour peu que vous ayez visité une seule fois une page contenant un ActiveX, celui-ci est installé de façon permanente sur votre machine, qui plus est, à votre insu si vous n'avez pas paramétré Internet Explorer comme il faut... on imagine ce que cela peut donner si ce contrôle a été conçu dans un but malveillant. Une véritable aubaine pour les créateurs de parasites tels que des chevaux de Troie et autres dialers donc.

www.inoculer.com/activex.php3

De toute manière, si un programme, légitime ou non, a besoin d'un activeX pour fonctionner (Macromedia Shockwave, WGA validation tool, etc.), il le réinstallera de lui-même.
Ce sera à toi d'être vigilante et de bien savoir à qui tu as affaire avant de cliquer oui...

Et enfin, le dernier :

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
Fichier appartenant à MSN 7.5 et souvent signalé manquant par erreur par Hijackthis (file missing).
Comme il s'agit d'une fausse alerte, ne supprime pas cette ligne sauf bien sûr si tu n'utilises plus MSN...

isavince isavince
31 contributions
Membre depuis le 26/07/2005
Envoyé le 05/06/2006 à 12:38


Bonjour,

J\'ai effacé les lignes ci-dessus en mode normal et puis encore une fois en mode sans échec mais les lignes 02 et 016 reviennent à chaque fois.Est-ce que je dois suspendre le processus explorer.exe et décocher la restauration avant d\'effacer tout ça?

Et si j\'ouvre le programme StartUpRun, je constate que ctfmon.exe se réactive tout seul, alors que tous les autres restent désactivés. Quicksilver, faut-il que je supprime tous les trucs désactivés (avec la petite croix?)

* grolou
Anonyme
Envoyé le 05/06/2006 à 12:58 Modifié par Modifié par grolou le 05/06/20

Ce n\'est pas parce que tu supprimes ctfmon dans msconfig qu\'il est désactivé. support.microsoft.com/?kbid=282599



PAZTO245 PAZTO245
9 910 contributions
Membre depuis le 22/06/2004
Envoyé le 05/06/2006 à 13:44 Modifié par Modifié par PAZTO245 le 05/06/


Pourquoi faire simple quand on peut faire compliqué : récapitulation.
1 - Démarrer > exécuter > taper "msconfig" >
Démarrage > démarrage sélectif > tout décocher (sauf le pare-feu) ce qui veut dire même l'antivirus...
Reboot.
2 - Hijackthis > décocher tout Quand je dis "tout" , c'est : TOUT Et ça s'écrit T.O.U.T.
Reboot
3 - Poste de travail > clic droit > gérer > services et applications > services > tout mettre sur automatique

CQFD
Tu n'auras plus aucun souci de quelqu' ordre que ce soit !
Merci XP (+) (et à la méthode à Pazto, bien sûr) [:D]
Beethoven était sourd, ça dépasse l' entendement.
* quick 
Anonyme
Envoyé le 05/06/2006 à 14:01 Modifié par Modifié par quicksilver le 05/

Le problème avec ctfmon, c\'est qu\'il existe en 3 versions dont deux sont installées par des cochonneries. Elles sont faciles à reconnaître, elles apparaissent sous des dénominations différentes dans StartupRun et dans C\\Windows\\System32 :



assiste.free.fr/p/pacman/pacman_c.php

Il semble bien que c\'est la 3ème mais je peux me tromper, peux-tu nous le confirmer ?


Salut Pazto, Startuprun = msconfig mais en moins contraignant, pas de démarrage sélectif et inutile de rebooter, les modifs sont appliquées de suite. De plus, ctfmon est réactivé aussitôt.
Quant à mettre tous les services en automatique, ça c\'est ben la 1ère fois qu\'on me la fait ! tu te renseignes jamais avant de poster et dire n\'importe quoi ?
speedweb1.free.fr/frames2.php?page=service4

PAZTO245 PAZTO245
9 910 contributions
Membre depuis le 22/06/2004
Envoyé le 05/06/2006 à 14:12


tu te renseignes jamais avant de poster et dire n\'importe quoi


Non, et , oui ....
Très digne de toi ce lien documenté que je ne connaissais pas. (+)
Je fais confiance : à :
- mon pare-feu, (et ses autorisations) bureau et assistance cochés.
- à l\'option \"panneau de configuration > système > assistance (décochée)
- ma propension à la paranoïa très discrète en ce moment ! [;)]
Beethoven était sourd, ça dépasse l' entendement.
* quick 
Anonyme
Envoyé le 05/06/2006 à 14:29

Ce n\'est pas une question de paranoïa mais simplement du bon sens; tu vas pas laisser ton ordi ouvert à tous les vents et le laisser (par exemple) se transformer en pc zombi utilisé par un autre pour, par exemple encore, inonder la planète entière de spams (ça arrive, d\'autant plus à ceux qui n\'ont même pas un pare-feu filtrant les sorties...), même si tu fais régulièrement tes mises à jour de sécurité. C\'est non seulement de l\'inconscience mais en plus du pur mépris envers les autres...

Enfin, ce que j\'en dis, moi... [°)]

Tiens, l\'exemple d\'un des svchost :

Accès à distance au Registre
Nom de l\'exécutable : svchost.exe
Nom interne : remote registry
Description : Permet aux utilisateurs à distance de modifier les paramètres du Registre sur cet ordinateur
Il dépend de : RPC
Dépendent de lui : aucun
Commentaire : Bien, voyons, c\'est autoriser tout le monde à modifier votre base de registre, ce service est à fermer en priorité, pourquoi le service pack 2 de XP laisse toujours ce service \"automatique\" par défaut ? - Eux qui combattent les problèmes de sécurité !!!
Pour des raisons évidentes de sécurité, ce service doit être \"Désactivé\". Ce service n\'est pas présent sur XP Home.



* grolou
Anonyme
Envoyé le 05/06/2006 à 14:44 Modifié par Modifié par grolou le 05/06/20

services > tout mettre sur automatique

ça, c\'est vraiment colossal.

tout décocher (sauf le pare-feu) ce qui veut dire même l\'antivirus

c\'est ça, et si le pc a un virus de boot il sera bien au chaud. C\'est vraiment n\'importe quoi.

Toi, tu fais ce que tu veux sur ton pc. Tu te trouves bien comme ça, tant mieux pour toi. Mais n\'incite pas les autres à faire n\'importe quoi. Et assimiler cela à de la paranoïa, alors que ce n\'est que de la prudence, prouve une méconnaissance énorme des problèmes de sécurité.
a.vouillon.free.fr/28.htm
babin.nelly.free.fr/sv.htm







PAZTO245 PAZTO245
9 910 contributions
Membre depuis le 22/06/2004
Envoyé le 05/06/2006 à 15:23


[:o] Ce service n\'est pas présent sur XP Home.

Beethoven était sourd, ça dépasse l' entendement.
* grolou
Anonyme
Envoyé le 05/06/2006 à 16:01

* quick 
Anonyme
Envoyé le 05/06/2006 à 17:01 Modifié par Modifié par quicksilver le 05/

Pour en revenir à nos moutons...

J\'ai effacé les lignes ci-dessus en mode normal et puis encore une fois en mode sans échec mais les lignes 02 et 016 reviennent à chaque fois.

Les lignes 02 correspondent à d\'anciens fichiers Acrobat, Spybot, MSN, etc. qui ne sont plus présents sur ton ordi et qui ont été remplacés par des nouveaux (lors d\'une réinstallation, ou d\'une mise à jour plus probablement).
Regarde, en mode normal (je ne sais pas si tu y a accès en mode sans échec), si tu ne les as pas en double dans IE > Outils > Gérer les modules complémentaires > Modules complémentaires [S]qui ont été utilisés[/S] par Internet Explorer. Tu peux désactiver toutes tes lignes 02 et 016 à partir de là...

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
Acrobat AcroIEhelper
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
Spybot SDhelper
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
MSN Toolbar
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
TeaTimer (Spybot)
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
MSN Toolbar
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
Norton Antivirus Nav Helper
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
Microsoft Money

Est-ce que je dois suspendre le processus explorer.exe et décocher la restauration avant d\'effacer tout ça?

Je crois que ce sera impossible avec explorer.exe suspendu mais en tout cas :
1. Décoche la restauration système
2. Redémarre en mode sans échec
3. Vire les lignes 02 et 016 d\'Hijackthis (si elles sont encore là)
et n\'oublie pas de réactiver la restauration système.

faut-il que je supprime tous les trucs désactivés (avec la petite croix?)

Oui

isavince isavince
31 contributions
Membre depuis le 26/07/2005
Envoyé le 05/06/2006 à 23:08


Bonsoir,

Je suis allée voir dans outils>gerer les modules complémentaires> ... mais les programmes 02 en question ne s\'y trouvent pas.

Dans StartupRun, c\'est indiqué ctfmon.exe (avec pour icône un stylo sur une feuille) et dans window (system 32) c\'est écrit simplement ctfmon (avec le même icône), mais maintenant je me rappelle que spybot a trouvé quelque fois CoolWWWsearch.Feat2Installer. Maintenant, il relève toujours Windows Security Center.AntivirusOverride

J\'ai tout supprimé dans StartupRun, mais pas spybot ni vptray (je ne sais pas si c\'est ça, mon pare-feu) - j\'attends ton feu vert, quicksilver.

* grolou
Anonyme
Envoyé le 05/06/2006 à 23:30 Modifié par Modifié par grolou le 05/06/20

vptray c\'est ce qui te donne la fenêtre de Norton antivirus pour le régler ou lancer tes scans.
AntivirusOverride il faut lire ici www.memoclic.com/forum/technique/210369/commentinterpreterunmessagedespybot.html

Pour tes BHO, dans Spybot tu as une fonction pour les afficher et les supprimer, regarde ce tutoriel perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm
et profite du coup pour régler spybot.



isavince isavince
31 contributions
Membre depuis le 26/07/2005
Envoyé le 05/06/2006 à 23:46


merci pour l\'info grolou, donc, d\'après tout ce que j\'ai lu, ce doit être qqch qui essaie de passer outre mes sécurités, car je n\'avais pas ce message avant; j\'ai ça depuis quelques semaines seulement.Je le supprime à chaque fois (euh, il est mis en quarantaine plutôt - je n\'ai pas les mêmes fenêtres que celles du lien que tu as joint, à mon avis ma version spybot est plus ancienne)

isavince isavince
31 contributions
Membre depuis le 26/07/2005
Envoyé le 05/06/2006 à 23:54


oups! je n\'avais pas vu la deuxième partie de ton message. J\'avoue que je n\'ai jamais rien réglé sur spybot, tout doit être mis \"par défaut\" je suppose. Mais je vais regarder ça d\'un peu plus près cette semaine. Merci!

* grolou
Anonyme
Envoyé le 05/06/2006 à 23:54

Pour spybot, Onglet Mode > Mode avancé> Outils> BHO



* quick 
Anonyme
Envoyé le 06/06/2006 à 08:08 Modifié par Modifié par quicksilver le 06/

(+) Grolou, j'avais pas pensé à Spybot.
On peut aussi y virer les activeX, s'il en reste parmi les 6.

Pour Coolwebsearch et ses variantes il existe un nettoyeur spécialisé, CWShredder :
www.intermute.com/spysubtract/cwshredder_download.html
Une fois installé, fais un "Check for update" et clique simplement sur Fix.

Pour compléter le nettoyage, passe un coup de MiniRemoval Smartsearch, spécialement conçu par les créateurs de Spybot pour une variante particulièrement insidieuse de Coolwebsearch :
www.safer-networking.org/minifiles.html


Ca dure une seconde. Si tu as ce message, c'est tout bon, tu n'as pas la variante

Et pour finir, passe un coup de CCleaner, version Basic
www.ccleaner.com/downloadbuilds.asp
A l'install, [S]décoche "Installer la barre d'outils Yahoo CCleaner[/S]" (mais normalement elle n'est pas proposée dans la version Basic)


Sous le bouton Erreurs, clique sur "Chercher des erreurs" et "Réparer les erreurs sélectionnées" autant de fois que nécessaire, jusqu'à ce que CCleaner ne trouve plus rien. Comme pour tout nettoyeur de registre, plusieurs passes sont nécessaires.
A la question "Voulez-vous créer une sauvegarde", réponds oui et choisis un emplacement, le bureau par exemple... (Si plusieurs sauvegardes te sont proposées, ne garde que la première, tu peux répondre non aux suivantes).


Bien entendu, fais tout ça en mode sans échec, la restau suspendue, dans la foulée de mon post précédent.


Feu vert [:o)]

isavince isavince
31 contributions
Membre depuis le 26/07/2005
Envoyé le 06/06/2006 à 22:36


Bonsoir,

J\'ai supprimé les fichiers 02 sans problème, par contre, impossible d\'enlever les activeX (il y a un malware (Netster) dans la série: 56336BCB-3D8A-11D6-A00B-0050DA18DE71

Je vais essayer avec CWShredder, on verra bien.

isavince isavince
31 contributions
Membre depuis le 26/07/2005
Envoyé le 06/06/2006 à 23:31


CWShredder n\'a rien trouvé mais j\'ai fait aller CC cleaner et il trouvé énormément d\'erreurs (467 la première fois! ), je l\'ai passé plusieurs fois et maintenant il n\'y a plus d\'erreurs. J\'ai cliqué aussi sur \"analyse\" et puis sur \"nettoyage\" et tout a été nettoyé. Mais les fichiers 02 reviennent quand même à chaque fois et je ne sais toujours pas effacer les 016. Et nouveauté:je ne sais plus passer en mode sans échec!!!



PAZTO245 PAZTO245
9 910 contributions
Membre depuis le 22/06/2004
Envoyé le 06/06/2006 à 23:36


Bonsoir.
C\'est à se demander si tu as le sp2.
Et si windows est à jour de ses updates.
Et si tu as lu mon post d\'hier à 13 h 44........
Beethoven était sourd, ça dépasse l' entendement.
isavince isavince
31 contributions
Membre depuis le 26/07/2005
Envoyé le 07/06/2006 à 00:17


Bonsoir PAZT0245,

Oui = réponse à tes trois questions mais par rapport à ton post, vu les réactions que ça a entraîné de la part d\'autres memocliqueurs, je préfère ne pas suivre cette procédure.
Si tu as une autre idée, je suis tout ouïe...

PAZTO245 PAZTO245
9 910 contributions
Membre depuis le 22/06/2004
Envoyé le 07/06/2006 à 00:33


Si tu sais faire un point de restauration, fais-le, avant de te lancer, tu ne risques rien.
Tu pourra toujours revenir en arrière si ça ne convient pas.
Je serais le seul à m\'attirer les foudres !
Beethoven était sourd, ça dépasse l' entendement.
* quick 
Anonyme
Envoyé le 07/06/2006 à 00:38

Bonsoir,

D\'après le site de Symantec, Netster (si c\'est bien le même que le tien) serait dans Ajout/suppression de programmes...

Voici la procédure de désinstallation qu\'ils donnent :
1. Désinstaller Netster via Ajout/suppression de programmes
2. Faire un scan complet de l\'ordi avec Norton
3. Ouvrir l\'éditeur du registre (Démarrer > Exécuter > taper regedit) et se rendre à la clé suivante :
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Toolbar
Dans le volet de droite, supprimer la valeur {8E718888-423F-11D2-876E-00A0C9082467}
(et, bien sûr, si elle y figure, ta valeur 56336BCB-3D8A-11D6-A00B-0050DA18DE71, ou d\'autres valeurs de tes listes 016 et 02...)
4. quitter l\'éditeur du registre.
www.symantec.com/avcenter/venc/data/spyware.smartbrowse.html

Désolé, je n\'ai pas d\'autre idée pour ce soir, je commence à sécher...

* quick 
Anonyme
Envoyé le 07/06/2006 à 02:25

Pour les lignes 02 récalcitrantes, je pense à un truc. Si on n'arrive pas à les supprimer, ce ne serait pas tout simplement parce que les processus ou services associés sont encore en cours, bien que leurs fichiers n'existent plus...

Il faudrait que tu voies si ces éléments : Adobe Acrobat, Spybot, SDhelper, TeaTimer, MSN, Symantec, Norton et Microsoft Money sont encore listés comme processus dans le gestionnaire des tâches (Ctrl+Alt+Suppr onglet Processus). Si c'est le cas il faut les terminer pour pouvoir virer les BHO récalcitrants. Mais je n'y crois qu'à moitié, il faudrait plutôt voir dans les services...

Démarrer > Exécuter > services.msc. Dans la liste, repère les items en question et passe-les provisoirement en désactivé, le temps de fixer les BHO dans Hijackthis. Ensuite il faudra réactiver les services, puisque tu te sers encore de ces programmes.

Normalement, de nouvelles lignes 02 devraient apparaître dans Hijackthis, mais les bonnes cette fois-ci, sans la mention "- no file" derrière...


Supprimer des trucs qui doivent réapparaître Finalement, qu'est-ce qu'on se prend le chou pour pas grand-chose !!

isavince isavince
31 contributions
Membre depuis le 26/07/2005
Envoyé le 10/06/2006 à 00:09


Bonsoir,

J\'ai suivi ta procédure, quicksilver, mais quand je clique sur toolbar, il n\'y a rien dans le volet de droite (Nom:ab (par défaut) - Type: REG_SZ - Données: valeurs non définies)
J\'ai réglé spybot en suivant les conseils > lien de Grolou et j\'ai remarqué qu\'il était impossible d\'enlever les ActiveX en question (016), dont le malware Netster, que dans le démarrage système il y a un truc méchant selon le commentaire de spybot (ctfmon.exe) et donc je l\'ai décoché.Mais quand j\'ai redémarré mon pc, une nouvelle ligne ctfmon.exe s\'est inscrite (cochée elle).
Voilà où j\'en suis. Je ne sais toujours plus aller sur mon adresse hotmail et je n\'ose bien sûr plus utiliser le pc banking.


* quick 
Anonyme
Envoyé le 10/06/2006 à 10:34

Bonjour,

Je suis à court d\'idées [8(]
Essaie quand même un dernier nettoyage de ton ordi avec a² Free et Ewido...
a² Free : www.emsisoft.net/fr/software/free/. A la 1ère utilisation, une clé d\'activation gratuite te sera envoyée par mail.
Ewido : www.ewido.net/en/download/ (en version d\'évaluation pdt 14 jours, ensuite les mises à jour ne seront plus automatiques et le gardien d\'arrière-plan désactivé mais tu pourras continuer à l\'utiliser sans problème en faisant les mises à jour manuellement).
Ces deux programmes complètent efficacement Spybot [;)]

Si cela de donne rien de plus, je te conseille de soumettre ton log chez l\'ami Terdef assiste.forum.free.fr/viewforum.php?f=70. Il y a là-bas une charmante coccinelle, mais néanmoins redoutable tueuse de parasites. Elle te rendra ton ordi tout propre.

Bon courage pour la suite.

* grolou
Anonyme
Envoyé le 10/06/2006 à 11:41

il y a un truc méchant selon le commentaire de spybot (ctfmon.exe


Le processus CTFMON, est lié à Microsoft Office ; en effet ce processus permet la gestion de la biométrie ; écriture vocale, écriture manuelle via une palette graphique ou Tablet PC, interaction spécifique avec le clavier. www.faqxp.com/f/593.asp
spybot te dit n\'importe quoi sur ce coup. ctfmon.exe est sans aucun danger s\'il est dans c:\\windows\\System32; sinon c\'est une saleté.

donc je l\'ai décoché.Mais quand j\'ai redémarré mon pc, une nouvelle ligne ctfmon.exe s\'est inscrite (cochée elle

oui, tu n\'as pas lu ce que je t\'ai dit sur ce processus à la page pécédente.

Le CLSID de Netster c\'est {34805D32-AD89-469E-8503-A5666AEE4333}. Si tu l\'as tu dois le trouver. Bien entendu les ActiveX ne fonctionnenet qu\'avec Internet explorer, d\'où la pertinence du choix d\'un autrte navigateur (Opera, Firefox).
Pour les BHO récalcitants, il y a BHO Demon www.majorgeeks.com/download3550.html












Discussion trop ancienne

Cette discussion a été automatiquement fermée car elle n'a plus reçue de nouveau message depuis trop longtemps.

Nous vous suggérons de créer un nouveau message

« Retour sur la liste des messages de ce forum