L'espion qui prétend me débarasser des espions

[Beaumont]

A l'époque (mais ça a peut-être changé car les spyware sont de plus en plus vicieux), pour supprimer un truc qui se lançait au démarrage il "suffisait" d'aller dans Démarrer, Exécuter, taper regedit puis développer l'arborescence : local machine (et local user ensuite), software, microsoft, windows, current version, run. Dans run (et runonce etc.) se trouve normalement tout ce qui est lancé au démarrage. Avec beaucoup de précautions (parce qu'il y a toujours un tas de choses qu'on ne connaît pas mais qui se révèlent utiles), tu peux supprimer une ligne que tu reconnais comme suspecte (select, clic droit, delete).

J'espère que ma procédure n'est pas trop ancienne, ça date de Windows 98.

[arkayn]

Les programmes sont de plus en plus malins. Beaucoup de virus/spywares se répliquent en 3 ou 4 exemplaires, avec des noms différents à divers endroits du disque dur.

Chaque élément vérifie la présence des autres. Si l'un est absent, il est aussitôt recréé. Ce qui rend leur éradication très difficile manuellement si on ne connais pas les particularités des fichiers que l'on veux effacer.

Heureusement, des sites existent pour indiquer les procédures à suivre, voire même proposent des logiciels spécifiques pour chaque virus ou spyware.

[Sisyphe]

Les programmes sont de plus en plus malins. Beaucoup de virus/spywares se répliquent en 3 ou 4 exemplaires, avec des noms différents à divers endroits du disque dur.

Tout à l'heure, j'en avais 8.

Comme d'habitude : un coup de Spybot et de Smitfraudfix m'en débarasse (ainsi que d'autres fonctionnalités d'ailleurs, dont j'ai besoin, genre indication de la langue du clavier). Mais sitôt la première connexion, tout revient.

A l'époque (mais ça a peut-être changé car les spyware sont de plus en plus vicieux), pour supprimer un truc qui se lançait au démarrage il "suffisait" d'aller dans Démarrer, Exécuter, taper regedit puis développer l'arborescence : local machine (et local user ensuite), software, microsoft, windows, current version, run. Dans run (et runonce etc.) se trouve normalement tout ce qui est lancé au démarrage. Avec beaucoup de précautions (parce qu'il y a toujours un tas de choses qu'on ne connaît pas mais qui se révèlent utiles), tu peux supprimer une ligne que tu reconnais comme suspecte (select, clic droit, delete).

Bon, je veux bien essayer d'appliquer cela, mais je vois pas trop ce que ça donne (et puis : supprimer l'espion de la barre des tâches, ce n'est pas m'en débarasser, non ?). Voici ce que j'ai dans run

CP888M1 - c:\program files\Ez-Button\CP888M1.EXE

-> Ca, c'est le pilote de mes deux boutons supplémentaires.

Note : depuis le début de cette affaire, et suite à mes nettoyages, mes deux boutons ont carrément cesser de fonctionner, même si l'icône est toujours présente.

Tout comme la barre des langues du clavier d'ailleurs.

F-Secure Manager c:\program files etc. \ FSM32.EXE /Splash

Mon anti-virus. Question : ça veut dire quoi "/splash"

gwiz - c:\windows\system32\ntsystem.exe

-> Ca, c'est le mystère. Serait-ce lui l'espion ? Mais j'ai toujours peur de supprimer un truc qui se trouve dans c:\windows

iTunesHelper - c:\program files etc. \ iTunesHelper.Exe

-> Gestionnaire de iTunes. Qu'est-ce qu'il fout là, j'en sais rien, mais pas de danger a priori, non ?

QuickTimes Task - c:\program files etc.\qttask.exe -atbootime

-> Ca c'est QuickTime (là encore : keskifoulà ?). Ca veut dire quoi -atbootime ?

[quot€] TkBellExe - c:\program files\fichiers communs\Real\update-OB\realshed.exe -osbood [/quote]

-> Même question à propos de l'opérateur "-osbood".

ubgkhsf.dll c:\windows\System32\rundll32.exe c:\windows \system32\ubgkhsf.dll,omktch

-> Le deuxième mystère. Serait-ce encore lui ? C'est vraiment une commande "omktch" ?

*

J'ajoute que je subis de plus des redirections d'entrée vers MSN.

[Beaumont]

Mon anti-virus. Question : ça veut dire quoi "/splash"

Je réponds à la seule question qui ne fera pas avancer le shmi, le shmibil, le shmilebik... une "splash window" c'est une sorte de fenêtre de présentation qui apparaît pendant quelques secondes à l'ouverture du logiciel. Il y a parfois une option qui permet de s'en passer.

[arkayn]

ntsystem.exe est bien un espion. A supprimer sans remords

Utilise HijackThis.
Quand tu l'auras téléchargé, renomme le en Scanner.exe, par exemple. Certains espions arrivent à se cacher quand ils détectent HijackThis.

Lance le scan et demande le log. Poste-le sur le site http://www.hijackthis.de.

Tu auras un rapport en ligne sur le fichiers que HijackThis soupçonne ou connaît déjà comme espions. plus qu'à cocher les caches correspondantes dans le logiciel et à cliquer sur Fix pour les supprimer.

Et si tu n'es pas sûr de toi, poste le rapport ici aussi. On pourra jeter un coup d'oeil.

[Sisyphe]

ntsystem.exe est bien un espion. A supprimer sans remords

Il a disparu ! À la place j'ai :

gwiz - c:\documents and settings\sisyphe\Application data\10151.exe

je zigouille quand même ? Et est-ce que l'autre va revenir ?

Utilise HijackThis.
Quand tu l'auras téléchargé, renomme le en Scanner.exe, par exemple. Certains espions arrivent à se cacher quand ils détectent HijackThis.

J'en avais l'intention et je vais le faire. Mais c'est horriblement compliqué, bouhouhou...

En même temps un formattage n'est jamais sans risque non plus, il faut pouvoir réinstaller tous les programmes, tous les drivers, et même si les données sont sauvegardées on perd forcément de nombreux paramètres de personnalisation (macros, réglages, etc.).

C'est ce que je crains - outre le fait que s'il me faut tout réinstaller, j'ai besoin de 72 heures devant moi et je ne les ai pas, surtout en ce moment.

J'ai défini tellement de macros et de raccourcis-claviers sous Word que je n'ai plus une seule touche disponible (mais j'utilise cinq alphabets et pleins de petits signes cabalistiques). Mon répertoire "mes documents" fait 768 mégas à lui tout seul. J'entame ce soir une sauvegarde de mes fichiers essentiels. Je sais même pas si j'ai le programme d'installation du pilote des boutons supplémentaires (bien pratiques pourtant) et du "double périphérique" (mon lecteur de disquettes et celui des CD est au même endroit, j'enlève l'un pour mettre l'autre).

Nous vous comprendrions donc si vous désiriez le supprimer :

Démarrer => Exécuter , puis, dans la zone de texte, tapez :

regsvr32.exe -u c:\Windows\system32\regwizc.dll

Et validez. Une fenêtre de confirmation s'ouvrira alors vous disant que le processus de suppression à bien fait effet, et vous serez tranquille.

Serait-ce le même que wizg que je vois apparaître grâce au regedit ?

[Latinus]

Bon courage...
Avec tout ce que tu exposes, personnellement je serais passé par la case départ depuis longtemps ; contrairement à ce qu'on s'imagine, cela prend bien souvent moins de temps que de jouer à l'exterminateur de cochoncetés.

De plus, toutes les méthodes manuelles ne porteront leur attaques que sur des cibles clairement identifiées (anti-troll : du moins, dans le domaine de l'informatique et si elles sont exercées avec précaution).

--

Qu'est-ce qu'une cible clairement identifiée ? Un élément dont la suppression ne fera l'objet d'aucune hésitation (parce que, bien sûr, faudrait pas casser le système) donc :

. Un logiciel qui se charge au boot (démarrage) de l'OS (système d'exploitation) - tu devrais donc maintenant comprendre "atbootime" et "osboot" - et donc la présence est clairement parasite.

. Un processus présent dans le gestionnaire de tâche dont le nom est repris dans les bases internet des processus (mais une base est par définition incomplète) et qualifié comme étant dangereux.

. Un programme dans "ajout et suppression de programmes" qui n'a rien à faire là.

. Un malware dont l'activité est visible (pop-up, ...) et qui incite donc à se renseigner sur la toile afin de l'identifier et d'appliquer une éventuelle méthode de suppression...


Ne seront donc pas traités les pires (en terme de conséquences), car ce sont bien les pires qui ont tout intérêt à ne pas se montrer.
Quand un système est autant corrompu, c'est prendre du risque que de parier sur leur absence.

Les malwares ne se lancent pas toujours au démarrage du système. Il "infectent" un logiciel quelconque et sont donc lancés avec celui-ci. On pourra "tuer" son processus mais quasi jamais l'éradiquer du disque dur.
De plus, ils sont bien souvent répertoriés dans les listes avec leurs noms usuels mais étant donné que le véritable nom du processus actif dans le gestionnaire de tâche est généré de manière aléatoire, une recherche basée sur ce critère ne donnera rien.

On a par exemple, dans cette catégorie, des malwares de type "keylogger" : enregistrement de tout ce qui est frappé au clavier (mot de passe, n° de CB, ...), de type "dataharvesting" : parcours du disque dur, des mails, ... A la recherche de données (adresses mail, le plus souvent) alimentant ensuite les serveurs de spammeurs.

[Sisyphe]

ntsystem.exe est bien un espion. A supprimer sans remords

Utilise HijackThis.
Quand tu l'auras téléchargé, renomme le en Scanner.exe, par exemple. Certains espions arrivent à se cacher quand ils détectent HijackThis.

Lance le scan et demande le log. Poste-le sur le site http://www.hijackthis.de.

Tu auras un rapport en ligne sur le fichiers que HijackThis soupçonne ou connaît déjà comme espions. plus qu'à cocher les caches correspondantes dans le logiciel et à cliquer sur Fix pour les supprimer.

Et si tu n'es pas sûr de toi, poste le rapport ici aussi. On pourra jeter un coup d'oeil.

1. Alors, voici ce qu'il me trouve de "méchant" (;) c'est lui dit comme ça...), et qui ne me rassure pas :

C:\WINDOWS\System32\scvhost.exe
O4 - HKLM\..\Run: [Config Loader] scvhost.exe
O4 - HKLM\..\RunServices: [Config Loader] scvhost.exe
O4 - Startup: .protected
O4 - Global Startup: .protected

Le premier, je l'avais repéré depuis un certain temps. Question, est-ce que supprimer scvhost.exe va suffire - j'avais dans l'idée que non. Et après avoir "fixed" tout ça et redémarré, je constate que svchoste.exe est toujours actif dans les processus actifs du gestionnaire des tâches.

C'est le quatrième qui me fait terriblement peur, "extremly nasty" me dit le site. Le problème, c'est que je ne sais même pas quoi faire ; il n'indique pas de nom de fichier, je ne comprends pas bien où se situe la saloperie.

Curieusement, il me classe comme "nasty" "Easy CD Creator 5", un bidule installé d'usine sur mon ordi et a priori séronégatif. C'est normal ?

2. Voici ensuite ce qu'il ne connaît pas :

- "scanner.exe", c'est-à-dire lui-même !
- un fichier de F-Secure (à savoir FSGK32.EXE), dont il dit :

Eventuellement méchant! Selon notre base de données, ce processus s’exécute normalement dans c:\programme\f-secure.*\anti-virus\! Vérifiez si vous connaissez ce processus et arrangez un contrôle antivirus si nécessaire.Part of F-Secure Antivirus

O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\System32\ntsystem.exe
-> Un espion si je vous en crois.

O4 - HKLM\..\Run: [ubgkhsf.dll] C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\ubgkhsf.dll,omktch
-> Que j'avais repéré dans le run de regedit. Il me paraît très suspect.


O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
Ca, c'est la connerie de sous-Internet Explorer de Wanadoo qui se lance au démarrage

O4 - HKLM\..\Run: [wdmgrr.exe] C:\WINDOWS\System32\wdmgr.exe

O16 - DPF: {2B254D12-B9A1-64AF-1A09-600B0A740006} - http://85.255.115.229/1/gdnFR2175.exe (manifestement un "dialer")

O20 - Winlogon Notify: bt848rom - C:\WINDOWS\SYSTEM32\bt848rom.dll

O23 - Service: LogIyu - Unknown owner - \?C:Program FilesFichiers communsServicesprn.exe (file missing)
-> Euh... Serait-ce les pop-up de jeunes filles un peu dévêtue qui m'assiègent depuis quelques jours ?

BHO: (no name) - {2BB768BC-D6F4-1DA7-ABDC-05206A4F8ADC} - C:\WINDOWS\System32\yzdqikj.dll
-> Je ne sais pas pourquoi mais il ne me rassure pas.

*

Bon, pour l'instant ("fixed" et redémarrage) j'ai l'air débarassé de l'icône insupportable. En revanche, et sans que je sache si c'est le virus ou mes nettoyages successifs, je souffre des symptômes suivants :

1. Depuis quelques heures : les menus d'Internet Explorer ont disparu ! J'ai plus que du gris au-dessus de mes icônes ! Les menus se déroulent correctement (sauf celui des favoris).

2. J'ai toujours pas récupéré l'usage de mes deux boutons supplémentaires. Le réglage extérieur du son non plus (enfin, je crois qu'il fonctionne, mais je n'ai plus d'affichage à l'écran).

3. Au lancement d'internet, il m'affiche successivement trois messages d'erreur, m'annonçant qu'il manque de mémoire (ce qui n'est déjà pas normla) pour lancer trois programmes, dont "cmd" et surtout "antivir.exe"
Or ce dernier, je l'avais déjà repéré dans la racine de mon disque, et je trouve qu'il a un air pas catholique. A priori, mon antivirus s'appelle F-Secure ; donc sékoiceutruk ?

4. Eventuellement, il m'avait sembler constater quelques lenteurs. Mais à présent, ça a l'air d'aller.

[Latinus]

wdmgr.exe est complice avec scvhost.exe
BT848ROM.DLL est un trojan

Quelques inconnus complets... Donc voir message plus haut.

--

Au risque de paraître lourd et insistant, bien que je comprends que tu désires jouer de la pince à épiler plutôt que d'employer la pelleteuse, quand on a un système aussi compromis (car plusieurs méchants différents et d'origines différentes) on ne se met pas juste soi-même en risque.

Je te sais avoir au moins deux accès avec droits particuliers sur autant de forums distincts. Vaut-il mieux se dépêcher d'expédier toutes ces crasses dehors ou prendre le temps de tenter de les éliminer une par une et risquer de distribuer à qui veut les identifiants de ces accès en question alors que tu utilises au moins l'un d'eux pour demander de l'aide, ce qui est fort naturel mais faut-il rappeler ce qu'est un logiciel espion ?

De même, pendant que les jours passent, cela laisse autant de temps à ces crasses pour enrichir les bases de spam de nouvelles adresses.
Comment crois-tu qu'une adresse jamais publiée sur quelque espace publique que ce soit (mais utilisée pour écrire à quelques contacts) se retrouve tout à coup la cible de spam ?

Etre infecté, c'est loin d'être la joie. Devoir réinstaller son système également. Cela ne doit pas empêcher de penser à l'étendue possible de l'activité de ces nuisibles qui, par définition, ne sont pas créés dans le but "d'embêter" une seule personne.

[svernoux]

1. Alors, voici ce qu'il me trouve de "méchant" (;) c'est lui dit comme ça...), et qui ne me rassure pas :

C:\WINDOWS\System32\scvhost.exe
O4 - HKLM\..\Run: [Config Loader] scvhost.exe
O4 - HKLM\..\RunServices: [Config Loader] scvhost.exe
O4 - Startup: .protected
O4 - Global Startup: .protected

Le premier, je l'avais repéré depuis un certain temps. Question, est-ce que supprimer scvhost.exe va suffire - j'avais dans l'idée que non. Et après avoir "fixed" tout ça et redémarré, je constate que svchoste.exe est toujours actif dans les processus actifs du gestionnaire des tâches.

Attention ! Je ne connais pas, mais je pense que svchost.exe est tout à fait normal puisque je l'ai toujours aussi sur tous les postes (et même en plusieurs occurences). Mais celui que t'a détecté Highjackthis, c'est pas svchost c'est scvhost Un qui essaie de se faire passer discrètement pour l'autre ?

[arkayn]

C'est bien ça. Certains portent de noms comme Explorer.exe, spool.exe... sauf qu'ils ne sont évidement pas dans le bon répertoire.

[svernoux]

ah ah, les vicieux...