supprimer xp spyware 2009

[eloradanan17]

Bonjour,
Je pense que ce n'est pas un sujet nouveau, j'ai vu de nombreux messages expliquant comment se débarasser de ce virus mais je pense que c'est au cas par cas. Alors tant pis, je lance mon appel à l'aide!!!!
Comme de nombreuses personnes mon ordinateur a été infecté par xp spyware 2009, j'ai des problèmes de connexion avec certaines pages internet, je tombe sur des sites porno ou inconnus. Je serai ravie si quelqu'un pouvait m'aider pas à pas pour m'en débarasser, sachant que mes compétences en informatique sont limitées.

Une dernière question comment protéger mon ordinateur de façon maximale pour éviter ces désagréments, j'ai avast et la pare-feu windows
Merci d'avance de votre aide.
Configuration: Windows XP
Internet Explorer 6.0

[r@in | b0w]

Bonjour.

Dans un premier temps, tu suis ce tutorial et tu postes le rapport généré dans ton prochain message.


Ensuite, pour l'infection Xp Spyware qui est un rogue, tu télécharges SmitfraudFix.

Avant de lancer SmitfraudFix, tu désactives ta connexion Internet & ton antivirus car ce dernier peut bloquer l'exécution de l'utilitaire.
Tu les réactiveras après l'utilisation de SmitfraudFix.

Double-cliques sur l'icône SmitfraudFix.exe pour lancer l'application.
Tu verras un écran bleu à choix multiple, appuies sur la touche [1] puis sur [Entrée].

Quand l'analyse est finie, tu nous postes le rapport généré par SmitfraudFix; si tu ne le trouves pas ou que le Bloc-notes ne s'ouvre pas avec le rapport à l'intérieur, tu le trouveras ici: C: apport.txt.

Une dernière question comment protéger mon ordinateur de façon maximale pour éviter ces désagréments, j'ai avast et la pare-feu windows
Merci d'avance de votre aide.
Configuration: Windows XP
Internet Explorer 6.0

Déjà, première chose, ce rogue est présent car tu l'as installé, toi ou un autre utilisateur de ta machine.
Le premier & dernier rempart, c'est l'utilisateur.

Avant de cliquer n'importe où ou d'accepter d'installer quelque chose, tu as gOOgle ou VirusTotal, à la limite ce forum aussi pour demander l'avis.

Ensuite, l'alternatif est de rigueur:

_ Utilisation d'un navigateur internet alternatif:

Internet Explorer n'étant pas sûr, il est préférable d'installer un navigateur internet alternatif pour sécuriser ton surf.

Tu as le choix entre Mozilla Firefox, Apple Safari ou encore Opéra.

Il faudra ensuite définir ce navigateur internet alternatif comme navigateur par défaut.


_ Utilisation d'un pare-feu alternatif:

Il est recommandé de ne pas utiliser le pare-feu Windows et d'en prendre un plus efficace.

Le choix est large: Zone Alarm, Sunbelt, Ashampoo ou encore Sygate.

Après avoir sélectionné le pare-feu idéal, il faudra désactiver celui de Windows.

De plus, ton navigateur Internet Explorer n'est pas à jour.
Tu dois télécharger & installer la dernière version même si tu décides d'utiliser un navigateur alternatif.

La version 7 est disponible ici.

En résumé donc, Avast ok couplé à un pare-feu alternatif.
Tu rajoutes un navigateur alternatif, la mise à jour d'Internet Explorer et ce sera le minimum.

[r@in | b0w]

Pour la suite, si dans le rapport, il est indiqué:

Code: Tout sélectionner

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 XXX.com

[...]»»»»»»»»»»»»»»»»»»»»»»»» C:Program Files

C:Program FilesPCHealthCenter PRESENT !

Il faudra alors faire ceci:

Tu redémarres en Mode sans échec ([F8] au démarrage).

Tu te logges ensuite sur ta session puis tu lances SmitfraudFix.

Tu appuis sur la touche [2] puis [Entrée].
Si tu as une ligne demandant le nettoyage de la base de registre, appuies sur la touche [O] - pour Oui.

Quand l'analyse sera finie, un rapport sera généré.
Tu l'enregistres car il n'est pas sauvegardé par défaut.

Bon courage

[eloradanan17]

rebonjour
Merci de tes conseils mais comment désactives-ton un antivirus comme avast et la connexion internet, il suffit de la débrancher?
merci

[eloradanan17]

Bonjour me revoila avec le rapport hijackthis. J'ai téléchargé smith... mais pour les prochaines étapes j'aurais besoin d'une aide pas à pas car je ne suis pas calée lorqu'il s'agit trifouiller le registre


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:17:20, on 24/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsMicrosoft SharedVS7DEBUGMDM.EXE
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32fxssvc.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSOUNDMAN.EXE
C:Program FilesSynapticsSynTPSynTPLpr.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:WINDOWSsm56hlpr.exe
C:WINDOWSsystem32 undll32.exe
C:Program FilesQuickTimeqttask.exe
C:WINDOWSsystem32RunDll32.exe
C:WINDOWSSystem32spoolDRIVERSW32X863E_FATIABE.EXE
C:Program FilesScanSoftOmniPageSE4.0OpwareSE4.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSvVX3000.exe
C:Program FilesFichiers communsRealUpdate_OB ealsched.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe
C:Program FilesLogitechSetPointSetPoint.exe
C:Program FilesFichiers communsLogitechKhalSharedKHALMNPR.EXE
C:Program FileseMuleemule.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsElodieApplication DataU3F406260A0915997LaunchPad.exe
C:WINDOWSsystem32wuauclt.exe
C:Program FilesInternet Exploreriexplore.exe
C:WINDOWSSystem32spoolDRIVERSW32X863E_FARNABE.EXE
C:Program FilesTrend MicroHijackThisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:Program FilesEPSONEPSON Web-To-PageEPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:Program FilesEPSONEPSON Web-To-PageEPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM..Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [SynTPLpr] C:Program FilesSynapticsSynTPSynTPLpr.exe
O4 - HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM..Run: [InstantOn] "C:Program FilesCyberLinkPowerCinema Linuxion_install.exe" /c
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [CmUsbAudio] RunDll32 cmcnfg2.cpl,CMICtrlWnd
O4 - HKLM..Run: [EPSON Stylus D88 Series] C:WINDOWSSystem32spoolDRIVERSW32X863E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
O4 - HKLM..Run: [SSBkgdUpdate] "C:Program FilesFichiers communsScansoft SharedSSBkgdUpdateSSBkgdupdate.exe" -Embedding -boot
O4 - HKLM..Run: [OpwareSE4] "C:Program FilesScanSoftOmniPageSE4.0OpwareSE4.exe"
O4 - HKLM..Run: [ALUAlert] C:Program FilesSymantecLiveUpdateALUNOTIFY.EXE
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [VX3000] C:WINDOWSvVX3000.exe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers communsRealUpdate_OB ealsched.exe" -osboot
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [updateMgr] "C:Program FilesAdobeAcrobat 7.0ReaderAdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe
O4 - HKCU..Run: [SVCHOST.EXE] C:WINDOWSsystem32driverssvchost.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program FilesAdobeAcrobat 7.0Reader eader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~3OFFICE11EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~3OFFICE11REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:WINDOWSsystem32Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 1587378981
O20 - AppInit_DLLs: karna.dat
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:Program FilesSymantecLiveUpdateALUSchedulerSvc.exe (file missing)

--
End of file - 7063 bytes
A plus

[r@in | b0w]

Bonjour.

comment désactives-ton un antivirus comme avast et la connexion internet, il suffit de la débrancher?

Pour Avast, tu fais un clic droit sur l'icône de la barre des tâches en bas à droite puis tu cliques sur Arrêter la protection résidente.

Ton antivirus sera désactivé.

Pour la connexion, si tu es connecté avec un fil, tu le débranches simplement.

Vis-à-vis d'HiJackThis, tu supprimes les lignes:

O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers communsRealUpdate_OB ealsched.exe" -osboot
O4 - HKCU..Run: [SVCHOST.EXE] C:WINDOWSsystem32driverssvchost.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program FilesAdobeAcrobat 7.0Reader eader_sl.exe
O20 - AppInit_DLLs: karna.dat

Sinon, deux choses supplémentaires:

_ Tu as des restes Symantec, si tu n'as pas de produit Symantec (tu avais peut-être Norton préinstallé sur ta machine), tu vas sur ce fil et tu récupères le désinstallateur Symantec.

Tu le lances ensuite pour supprimer toute trace.

_ Ta version d'Internet Explorer n'est pas à jour.

Tu télécharges la dernière version stable, la 7, disponible ici.

_ Tu as peut-être une autre infection, pour l'instant inconnue, ce fichier C:Documents and SettingsElodieApplication DataU3\0F406260A0915997LaunchPad.exe.

Tu vas sur http://www.virustotal.com/fr/ puis tu cliques sur Parcourir.
Tu sélectionnes le fichier C:WINDOWSSystem32 s32net.exe et tu cliques sur Ouvrir.

Tu cliques ensuite sur Envoyer le fichier.

A la fin de l'analyse, tu cliques sur Formaté en haut à gauche puis, dans la nouvelle fenêtre, tu cliques sur le bouton pour faire apparaître le rapport dans la fenêtre en question.

Tu sélectionnes ce rapport puis fais un copier-coller et tu le colles dans ton prochain message.

Tu refais la manipulation pour le fichier C:WINDOWSSystem32spoolDRIVERSW32X863E_FARNABE.EXE.

Lances ensuite SmitfraudFix puis postes le rapport, si quelque chose est trouvé, tu lances l'option 2.

Ensuite, il faudrait passer SDFix:

Tu télécharges SDFix.

Tu double cliques ensuite sur l'icône SdFix pour le lancer.
Tu ne touches pas aux configurations et cliques uniquement sur Install.

Tu pars ensuite en Mode sans échec ([F8] au démarrage).

Après être sur ta session, tu cliques sur Démarrer puis Exécuter;
Tu tapes (ou copies-colles) C:SDFixRunThis.bat puis tu valides en appuyant sur [Entrée] ou en cliquant sur Ok.

Une fenêtre s'ouvrira, tu appuies sur la touche [Entrée] ou [Y].

Le fix va faire le ménage, tu prends ton mal en patience et attends

Quand tu vois écrit:

Code: Tout sélectionner

The PC will now restart, SDFix will run again after reboot.
 
Press any key to continue...

Tu appuies sur n'importe quelle touche du clavier, ce qui fera redémarrer ta machine.

SDFix se lancera après l'ouverture de ta session pour finir le ménage.

Le Bloc-notes s'ouvrira ensuite avec le rapport, copies-colles celui-ci dans ton prochain message.