Trojan + adware > Aïe

[mrttlemonde]

Bonjour a tous,

voici mon probleme :
Samedi apres midi, j'ai du surfer quelque part ou il ne fallait pas. C'est un peu comme quand on marche dans la rue sans faire attention... la crotte de chien est toujours la... mais bon dans ce cas ci je ne pense pas que ca porte chance !

Depuis lors, j'ai scanne deux fois mon pc. La premiere fois j'ai trouve un trojan et je l'ai supprime. La deuxieme fois plus rien n'a ete trouve. Cependant, j'ai toujours des messages de tentatives d'intrusions toutes les 6 minutes. Je ne comprend pas comment faire pour m'en debarasser. Je me suis deconnecte puis reconnecte (en verifiant que mon adresse ip ne sois plus la meme) mais ca ne change rien. Je ne comprend pas comment ils y arrivent.

Avez vous eu deja ce probleme? Que me conseillez vous?

[Faith's Fall]

Deja faire le chemin habituelle:

- Anti-virus (bon)
- Adaware
- Spybot
- www.webroot.com spysweeper

Vérifier les processus.

Sinon regarde ce tuto:

http://cchatelain.developpez.com/articles/securite/

Il est très bien fait.

[mrttlemonde]

Merci pour ta reponse ! Je desesperais :-)
J'ai donc scanne oui puis ad-aware ... j'ai encore supprime un trojan. C'eait le dernier. Et pourtant, j'ai toujours ces meme tentatives

Est ce que le fait de formatter ameliorera tout ca? Je me le demande, pcq j'ai deja fait ca chez un ami et ca n'arrangait rien

[Faith's Fall]

Citation:

Envoyé par mrttlemonde

Merci pour ta reponse ! Je desesperais :-)
J'ai donc scanne oui puis ad-aware ... j'ai encore supprime un trojan. C'eait le dernier. Et pourtant, j'ai toujours ces meme tentatives

Est ce que le fait de formatter ameliorera tout ca? Je me le demande, pcq j'ai deja fait ca chez un ami et ca n'arrangait rien

Normalement si tu supprime tout (formatage) et reinstallation complète oui tu aura normalement un système sain.

[Rei Angelus]

Citation:

Envoyé par BWP-Necromance

Normalement si tu supprime tout (formatage) et reinstallation complète oui tu aura normalement un système sain.

ATTENTION !! Certains virus se dupliquent dans la RAM afin de me pas être détruits lors d'un formatage, ce qui leur permet de se réinstaller sur le disque après celui-ci. Le résultat n'est donc pas garanti.

Essaie pluôt plusieurs anti-virus et anti-spyware avant d'être trop radical. Lesquels as-tu utilisés jusqu'ici ?

[Joeman79]

:
Et comment il fait pour se dupliquer dans la ram le virus une fois qu'on a redémarré la machine et démarré sur disquette de boot ??

[Ksual]

télécharge HijackThis
post un fichier ;TXT ici sur le forum
les connaiseurs taiderons sur le sujet
et sorts couvert la prochaine fois ou bien avec un navigateur alternatif, comme Firefox

--

[whilecoyote]

Salut,
Juste une question, comment font les virus pour se dupliquer dans la RAM. Je croyais que la RAM se vidait totalement à chaque fois que le pc et eteint.
Est ce que cela veut dire que meme pc eteint la ram peut garder des donnée ?

Merci de vos reponses

W.Coyote

[Rei Angelus]

Citation:

Envoyé par whilecoyote

Est ce que cela veut dire que meme pc eteint la ram peut garder des donnée ?

Bien sûr que non. Je vais essayer de ne pas dire trop de bêtises étant donné que mes connaissances remontent à quelque temps lorsque le virus Tchernobyl a décidé de squatter mon PC.

Dans le cas de ce virus cela devait se passer à peu prêt comme ça:

• Etape 1 : Le virus infecte le disque dur
  Etape 2 : Il se "clone" en RAM
  Etape 3 : Le clone RAM vérifie si son homologue DD est toujours là (quelque fois qu'il se soit fait zigouiller par un anti-virus). Si besoin, il ré-infecte le disque.

Résultat pour virer cette saloperie, cela a été un peu la galère. Mon anti-virus passait son temps à le détecter et le détruire sans succès. En fait, il fallait d'abord passer un utilitaire pour nettoyer la RAM et ensuite l'antivirus pour nettoyer le disque.

Pas trop de bêtises ???

[Jannus]

Citation:

Envoyé par Rei Angelus

Pas trop de bêtises ???

Non

[mrttlemonde]

J'ai scanne avec hijackthis et voici le resultat :
Logfile of HijackThis v1.99.1
Scan saved at 19:55:58, on 22/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\D-Link AirPlus\AirPlus.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\setup\setup.ovr
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Temporary Internet Files\Content.IE5\ORD5QDR7\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll
O2 - BHO: SponsorAdulto Class - {511F9316-771B-4953-A268-1C36DA667FE9} - C:\WINDOWS\Downloaded Program Files\sponsoradulto.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Program Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\system32\hgqhp.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Post-it® Software Notes Lite.lnk = PSNLite\PsnLite.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140289741046
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F5E6110-2C6F-40D8-818A-6AE30D990635}: NameServer = 85.255.115.22,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{5337E787-CB46-46A4-A077-02E2E05EFD3D}: NameServer = 85.255.115.22,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C6D106C-3137-453A-B910-1210984591FD}: NameServer = 85.255.115.22,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED2ABE51-D474-4BCC-9267-84CC0A230021}: NameServer = 85.255.115.22,85.255.112.101
O17 - HKLM\System\CS1\Services\Tcpip\..\{2F5E6110-2C6F-40D8-818A-6AE30D990635}: NameServer = 85.255.115.22,85.255.112.101
O17 - HKLM\System\CS2\Services\Tcpip\..\{2F5E6110-2C6F-40D8-818A-6AE30D990635}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

[Sunchaser]

Bonsoir,

Donc il te faut aller ici :

http://hijackthis.de/index.php#anl

et copier le resulat du scan la ou cela est demandé et cliquer sur "évaluer"...

A priori, le resultat donne que les inscriptions :

Citation:

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\system32\hgqhp.exe
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab
O2 - BHO: SponsorAdulto Class - {511F9316-771B-4953-A268-1C36DA667FE9} - C:\WINDOWS\Downloaded Program Files\sponsoradulto.dll

posent des problèmes, a des degrés plus ou moins élevés de certitude.

Voies donc par toi même et choisi de 'fixer' ces entrées, a savoir que une mauvaise manip pouvant être 'irrémédiable', je préfère te laisser le choix de les appliquer ou non.

@ +

[mrttlemonde]

Mmmm dis donc ... ca m'aide franchement ca ! Vais pouvoir virer ca. Mais je comprend pas... c'est qd meme une certitude a 99% donc il n'y a pas de risque de se tromper en supprimant ca non?

[Sunchaser]

Hé bien, a priori je dirais oui.
Mais moi, chui'pas pro et c'est pas sur mon PC donc je prends des pincettes ...logique non ?
Néanmoins, je le ferais surement.

Reste tout de même a passer le PC au peigne a cloporte - comme indiqué au début du post - et perso, lorsque j'ai un doute sur un éventuelle infection, je tourne vite a la paranoïa et j'utilise a peu près tout ce qui existe (ui, je sais, je suis givré ) : SpyBot (mon favori), Adaware, Pest Patrol, Microsoft antispy, a-square, etc...

Bon courage
@ +

[mrttlemonde]

j'en ai trouve d'autres...

O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe

puis j'en ai egalement qqs un que je ne trouve pas. Ils se trouvent dans la registry il me semble mais meme apres avoir fait des recherche, rien...

O17 - HKLM\System\CCS\Services\Tcpip\..\{2F5E6110-2C6F-40D8-818A-6AE30D990635}: NameServer = 85.255.115.22,85.255.112.101

O17 - HKLM\System\CCS\Services\Tcpip\..\{5337E787-CB46-46A4-A077-02E2E05EFD3D}: NameServer = 85.255.115.22,85.255.112.101

O17 - HKLM\System\CCS\Services\Tcpip\..\{5C6D106C-3137-453A-B910-1210984591FD}: NameServer = 85.255.115.22,85.255.112.101

O17 - HKLM\System\CCS\Services\Tcpip\..\{ED2ABE51-D474-4BCC-9267-84CC0A230021}: NameServer = 85.255.115.22,85.255.112.101

O17 - HKLM\System\CS1\Services\Tcpip\..\{2F5E6110-2C6F-40D8-818A-6AE30D990635}: NameServer = 85.255.115.22,85.255.112.101

et encore un assez bizarre :

O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab

Que puis je faire ?

[Sunchaser]

Tiens une petite discussion trouvée ou l'on parle aussi de yaemu
http://<br /> http://forum.telechar...s-1.html<br />
De meme, un des posteurs cite a-squared free mais je ne suis pas sur que ce t utilitaire en version gratuite répare bien toutes les anomalies trouvées.

[mrttlemonde]

Je reve? Je n'ai plus aucun probleme maintent. Tout semble clean.
Je ne crie pas encore victoire. Je verai bien les prochains jours. A mon avis il reste encore qqs elements dans la registry mais ils sont surrement innofensifs sans le programme suspect que j'ai supprime ...

[Sunchaser]

Pendant que j'y pense, dans le 'microsoft antispy' il y a quelques outils en plus du scan classique qui permettent de réparer certains 'paramètres' bidouillés par des cafards ou virus (lorsque l'on est dirigé automatiquement vers des pages net louches par ex), et d'effacer certains 'marqueurs' du a ton utilisation propre du pc et de ta navigation qui faciliteraient les tentatives d'intrusion et autres...j'aime beaucoup ces petits outils, bien qu'il se peut que je surestime totalement leur efficacité.
D'autres plus avertis que moi nous donneront peut être un avis moins optimiste a ce sujet.

@ +

[Ksual]

Hijack fais une sauvegarde de toutes les entrées supprimées, donc serais judicieux de ta part supprimer ce dossier Backup(trouvable dans le même dossier que Hijack) car les exécutables restent des exécutable donc dans deux jours ton problème est au même stade du départ.

à bon entendeur

--

[mrttlemonde]

Mais ... je n'ai que l'executable hijack... il n'y a aucun dossier hijack. Tout ce que j'ai c'est hijack.exe et hijack.log. Tu parles de supprimer le hijack.log? je ne comprend pas... il n'a pas pu faire de backup des fichiers qu'il a supprime quand meme?! :-( je ne retrouverai pas ce dossier ...