Dialer

[Anduriel]

Salut,

Depuis quelque temps j'ai un programme qui se lance tout seul sur mon autre pc, et toutes les 2 minutes il m'affiche un message en espagnol... J'ai lancé Ad-Aware, Microsoft AntiSpyware, Norton, et chacun à trouver des trucs mais pas ce fichier en particulier qui fout la m**** . J'ai essayé d'isoler les programmes actifs dans le gestionnaire de tache mais j'en ai trouvé aucun "impliqué".

Comment je peux faire?
Merci

[gorgonite]

Citation:

Depuis quelque temps j'ai un programme qui se lance tout seul sur mon autre pc, et toutes les 2 minutes il m'affiche un message en espagnol... J'ai lancé Ad-Aware, Microsoft AntiSpyware, Norton, et chacun à trouver des trucs mais pas ce fichier en particulier qui fout la m**** Evil or Very Mad . J'ai essayé d'isoler les programmes actifs dans le gestionnaire de tache mais j'en ai trouvé aucun "impliqué".

problème de rootkit ?
passes sous unix...


essaies http://winpooch.free.fr/home/index.php

il le détectera quand il se lancera, et le tour est joué
enfin, peut-être...

[Heureux-oli]

Essaye regCleaner qui est gratuit.

Dans l'onglet Startup, tu peux enlever les programmes qui se lancent au démarrage de windows et qu'on ne voit généralement pas.

Avantage, on peut faire marche arrière.

[Ksual]

freepost

--

[Anduriel]

Winpooch ne fait rien il me montre les processus actifs comme le gestionnaire de taches windows!

Pour RegClean, j'ai supprimer les Startup Files louches mais ça ne change rien!

[Anduriel]

J'ai compris pour Winpooch mais il ne me dit rien avec ce spyware.
Sinon j'ai remarqué que c'est quand je lance internet explorer qu'il se relance à nouveau...

Si ça peut éclairer quelqu'un...

[gorgonite]

Citation:

J'ai compris pour Winpooch mais il ne me dit rien avec ce spyware.
Sinon j'ai remarqué que c'est quand je lance internet explorer qu'il se relance à nouveau...

au fait, as-tu un firewall ?
si oui, tu lui dis de couper toute activité internet. tu lances ie... et tu attends de savoir qui essaiera de passer

[brice45]

Salut, connais tu HijackThis ?
tu peux le telecharger grâce à ce lien
http://www.mmdirect.de/downloads/hijackthis_199.zip

Fais nous un copier/coller de ton fichier .log obtenu après un scan ou tu peux l'analyser sur le site :
http://www.hijackthis.de/fr

[Anduriel]

Citation:

Logfile of HijackThis v1.99.1
Scan saved at 16:18:08, on 26/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\TEMP\winDFC.tmp.exe // Créé par celui que je cherche
C:\WINDOWS\TEMP\winDEC.tmp.exe // Créé par celui que je cherche
C:\WINDOWS\TEMP\winDFC.tmp.exe // Créé par celui que je cherche
C:\WINDOWS\TEMP\winDEC.tmp.exe // Créé par celui que je cherche
C:\Documents and Settings\Moi\Bureau\hijackthis_199\HijackThis.exe
C:\WINDOWS\TEMP\winDFC.tmp.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [Ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: winwgl32 - C:\WINDOWS\SYSTEM32\winwgl32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

[brice45]

des points me paraissent louches notamment

C:\WINDOWS\TEMP\winDFC.tmp.exe
C:\WINDOWS\TEMP\winDEC.tmp.exe

[Anduriel]

Oui mais eux sont générés automatiquement par un autre fichier et génèrent à leur tous des gros c******* de fichier qui se lancent toutes les 1 minutes.

Je ne trouve pas le fichier source...

[brice45]

Tu peux essayer un scan antivirus (autre que Norton) avec des versions d'essai ou bien certains te proposent gratuitement des scans en ligne : securiser, trend micro, panda...

Kaspersky par exemple :
http://webscanner.kaspersky.fr/

[Ksual]

oué c 'est moche

--

[loufab]

salut

tu peux aller sur http://2gm.free.fr il y a plusieurs liens vers des scan en ligne.

[Anduriel]

Merci je vais tester.
Mais qui me dit qu'il s'agit vraiment d'un virus? Pourquoi ce serait un virus si c'est seulement un programme qui se lance intenpestivement?
D'ailleurs j'aiu une autre question: à quoi les antivirus reconnaissent-ils les virus?

[Anduriel]

C'est cool j'ai fais ActiveScan et il m'en a trouvé 30 mais il les supprime pas

Sinon pareil il trouve cette fois les fichiers sialer créés par le fichier source mais pas le fichier source...

[gorgonite]

j'espère que tu as noté la liste...

et tu vas chercher les outils spécifiques sur :
http://www.symantec.com/avcenter/tools.list.html

[Ksual]

il a déjà norton et tu vois bien que en vain il ne comprends quedal ce antivirus

--

[gorgonite]

mais les fix norton... c'est différent (enfin, ça marche quand norton ne peut plus le faire)

[Anduriel]

Comment ça?

J'ai supprimé tous les fichiers de mon log (sauf dans RECYCLER car le dossier est introuvable, même si je "décache" les dossiers cachés).

Si je trouve pas le fichier source il va me créér des fichiers temp indéfiniment jusqu'à saturer la mémoire...