Bonjour,  
 
C'est super urgent ! J'ai un problème de spyware sur mon poste et je n'arrive pas à le supprimer. J'ai fait tourner l'antivirus, également ad-aware et spybot et rien ! Un spyware Ebates MoneyMaker est à chaque fois détecté et supprimé, mais à chaque fois il revient en avant lorsque je reboot mon poste !  
J'ai également contrôler dans les programmes si qqch apparaissait sous 'Ebates' mais rien !  
Je suis terriblement embêter pour pouvoir travailler. Est-ce que quelqu'un aurait déjà eu ce problème et pourrait me donner un coup de main rapide ???  
 
J'ai également fait tourner Hijackthis et voici le résultat :  
 
Logfile of HijackThis v1.99.1  
Scan saved at 11:32:19, on 11.04.2005  
Platform: Windows 2000 SP4 (WinNT 5.00.2195)  
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)  
 
Running processes:  
C:\WINNT\System32\smss.exe  
C:\WINNT\system32\winlogon.exe  
C:\WINNT\system32\services.exe  
C:\WINNT\system32\lsass.exe  
C:\WINNT\system32\svchost.exe  
C:\WINNT\system32\spoolsv.exe  
C:\WINNT\System32\svchost.exe  
C:\Program Files\Borland\InterBase\bin\ibguard.exe  
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe  
C:\oracle\ora92\bin\omtsreco.exe  
C:\WINNT\Explorer.EXE  
C:\WINNT\system32\regsvc.exe  
C:\WINNT\system32\MSTask.exe  
C:\Program Files\Trend Micro\OfficeScan Client\ofcdog.exe  
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe  
C:\WINNT\System32\WBEM\WinMgmt.exe  
C:\WINNT\system32\mspmspsv.exe  
C:\Program Files\Trend Micro\OfficeScan Client\PCCNTMON.EXE  
C:\Program Files\Borland\InterBase\bin\ibserver.exe  
C:\WINNT\system32\rundll32.exe  
C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis2a.exe  
C:\WINNT\system32\internat.exe  
C:\Program Files\Timbreuse\Timbreuse.exe  
C:\Program Files\MYIE2\MyIE.exe  
C:\Documents and Settings\lbonivento\Desktop\HijackThis.exe  
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ocs.proconcept.ch/  
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = PCSISA:8080  
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = mail.proconcept.ch;oid.proconcept.ch  
ocs.proconcept.ch;<local>  
R3 - Default URLSearchHook is missing  
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)  
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon  
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\winvnc.exe" -servicehelper  
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow  
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup  
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis2a.exe  
O4 - HKLM\..\Run: [etbrun] C:\winnt\system32\eliteciy32.exe  
O4 - HKCU\..\Run: [internat.exe] internat.exe  
O4 - HKCU\..\Run: [Timbreuse] C:\Program Files\Timbreuse\Timbreuse.exe /AUTOREG  
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE  
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll  
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll  
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL  
O10 - Hijacked Internet access by New.Net  
O10 - Hijacked Internet access by New.Net  
O10 - Hijacked Internet access by New.Net  
O10 - Hijacked Internet access by New.Net  
O10 - Hijacked Internet access by New.Net  
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = sonceboz.proconcept.ch  
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = sonceboz.proconcept.ch  
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = sonceboz.proconcept.ch  
O18 - Protocol: qrev - {9DE24BAC-FC3C-42C4-9FC4-76B3FAFDBD90} - C:\PROGRA~1\QUESTS~1\TOAD\RNetPin.dll  
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe  
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe  
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe  
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe  
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oracle\ora92\bin\omtsreco.exe  
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\ora92\BIN\ONRSD.EXE  
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe  

pas de Ebates/MoneyMaker dans ton log mais le spy EliteToolBar
 
1° fixer
 
R3 - Default URLSearchHook is missing  

O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)<--adware elitetoolbar
http://castlecops.com/clsid-1737.html
 
la ligne 04/faire
1) ctrl/alt/supp : arrêter ce processus
2) repasser sur le log et fixer (cocher)
 
O4 - HKLM\..\Run: [etbrun] C:\winnt\system32\eliteciy32.exe  (variante d'exe d'elitetoolbar idem)
 
*ferme TOUS les programmes
*fixe les lignes trouvées dans l'hijack (coche chaque case & Fix Checked)
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille
 
Pour ces entrées après les fix, utiliser l'outil de désinstall.
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup  
O10 - Hijacked Internet access by New.Net  
O10 - Hijacked Internet access by New.Net  
O10 - Hijacked Internet access by New.Net  
O10 - Hijacked Internet access by New.Net  
O10 - Hijacked Internet access by New.Net  
 
How to uninstall New.Net/NewDotNet  
http://www.newdotnet.com/removal.html <--à tester en 1er  
http://www.geocities.com/merijn_be [...] otnet.html <--cliquer sur le "bouton bleu" 1 seule fois! et attendre...
 
 

Merci pour ton aide rapide !
 
Cependant, j'ai toujours le problème avec l'elitetoolbar.
Pour New.net c'est OK ! J'ai bien pu le supprimer.
 
Pour elitetoolbar, tu parles de supprimer le services et ensuite de le fixer après être repasser dans le log.
Mais le service à supprimer, c'est lequel ?????
Je ne sais pas du tout !
Car si je fixe uniquement la ligne 'eliteciy32.exe', ça revient sans arrêt !
 
Voici la liste des services que j'ai :
-System Idle Process
-System
-SMSS.EXE
-WINLOGON.EXE
-CSRSS.EXE
-SERVICES.EXE
-LSASS.EXE
-svchost.exe
-spoolsv.exe
-svchost.exe
-ibguard.exe
-ntrtscan.exe
-explorer.exe
-regsvc.exe
-mstask.exe
-tmlisten.exe
-OfcDog.exe
-ibserver.exe
-PccNTMon.exe
-WinMgmt.exe
-mspmspsv.exe
-PccNTUpd.exe
-Timbreuse.exe
-fppdis2a.exe
-internat.exe
 
Est-ce que tu peux encore me donner un petit coup de main pour ça ?
Car là, ça revient sans arrêt !
 
Peut-être ai-je mal compris ton explication d'avant ?
 
Voici si jamais le dernier log de Hijackthis que je viens de faire :
 
Logfile of HijackThis v1.99.1
Scan saved at 13:52:19, on 11.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\ofcdog.exe
C:\Program Files\Trend Micro\OfficeScan Client\PCCNTMON.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntupd.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Timbreuse\Timbreuse.exe
C:\Program Files\MYIE2\MyIE.exe
C:\Documents and Settings\lbonivento\Desktop\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ocs.proconcept.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = PCSISA:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = mail.proconcept.ch;oid.proconcept.ch
ocs.proconcept.ch;<local>
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [etbrun] C:\winnt\system32\eliteciy32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Timbreuse] C:\Program Files\Timbreuse\Timbreuse.exe /AUTOREG
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = sonceboz.proconcept.ch
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = sonceboz.proconcept.ch
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = sonceboz.proconcept.ch
O18 - Protocol: qrev - {9DE24BAC-FC3C-42C4-9FC4-76B3FAFDBD90} - C:\PROGRA~1\QUESTS~1\TOAD\RNetPin.dll
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
 
 

quand tu fais ctrl/alt/supp : tu ne vois ni le processus [etbrun] ni "eliteciy32.exe" ?
 
tu le vois pas dans démarrer/exécuter : taper msconfig/valider ok / onglet : démarrage ??
si oui! décoche la case et reboot aussitôt pour appliquer
 
avec l'hijack
- clique sur  "Misc Tools button"  
- Clique sur  "labeled Delete a file on reboot"
 
après les fix/recherche dans ton ordi --> eliteciy32.exe (ou/et si tu trouves un dossier complet "etbrun" aussi)  
 
1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs
 
2) affiche les dossiers cachés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">>[!coche!] "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>>[!décoche!] la case "Masquer les fichiers protégés du système d'exploitation" *
 
3) passe en mode sans échec : (de préférence)
donne des impulsions rapides dès l'allumage de ton ordi sur la touche F8 ou F5
http://assiste.free.fr/p/comment/d [...] _echec.php
 
4) recherche et supprime
C:\programm files/ou/WINDOWS/ou/SYSTEM32\---> supprime : [.....].exe
 
5) redémarre en mode normal - vide ton cache internet (C:\Documents and Settings\NomUtilisateur\Local Settings\Temporary Internet Files  
/ou/options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)
 
6) réactive ta restauration système  
 
 
 
 

Super!
 
Apparemment maintenant c'est bon !
 
Je te remercie beucoup pour ton aide précieuse. Tu me sauve la vie    
 
Désolé encore pour le dérangement et merci,merci,merci,merci
 
Salut
   

lol!! sauver la vie c'est bcp trop ; bon surf!