[Virus?] icone dans la barre des tâches

Damouille · 18/04/2006, 10h41

Bonjour,

Je m'appelle Damien et je suis verolle

Ni Norton, adaware, spybot ne l'on vu. Je me tappe donc un icone clignotant dans ma barre de tache qui affiche de facon recurente le message : "your computer has been infected by .... to protect your computer balalla..."

Ma liste de process semble clean
mes anti virus et apyware sont a jour
Pas de tentative de connexion distante ni de port superflux ouverts

Mes questions :
- Comment puis-je trouver son emplacement sur mon systeme.
- Y a t il un moyen de tracer un programme depuis son affichage dans la barre des taches?

Merci

Kcirtap · 18/04/2006, 11h24

Salut Damien et bienvenue sur developpez.com

Tu peux effectivement voir à quel process et lié une fenêtre avec Process Explorer de Sysinternals.

@ plus

Ksual · 18/04/2006, 11h31

Bonjour Damien et bienvenue sur le forum developpez.net,

généralement ce sont des messages net send que tu reçois via le réseau qui peuvent être la cause de ton soucis, pour cela je te conseille lire l'article sur cette page et y appliquer les conseils. http://fr.wikipedia.org/wiki/Messenger_Spam

ensuite, télécharge l'utilitaire HijackThis http://www.google.com/search?hl=en&q...=Google+Search le quel tu va dézipper dans un nouveau dossier que ta crées.

tu lances l'exécutable et tu choisis l'option "Do a system scan and save log file", le fichier .txt tu peux le mettre en pièce jointe ou bien le contenu entre des balises pour une meilleure visibilité.

les experts te diront quoi faire par la suite, mais attention à ne pas supprimer des entrées sans les avoir vérifie avant.

te voilà avertis

--

Damouille · 18/04/2006, 11h53

Voici le fichier log de Hijackthis. Je n'y ai rien vu d'anormal. Si le service permettant de recevoir des messages d'un server distant s'appele "messenger" (windows xp pro en anglais). Il n'est pas en cause car desactive depuis toujours.

ggnore · 18/04/2006, 11h59

http://www.hijackthis.de/

Ce site t'analyse ton rapport.

Il n'y a rien qui dit que ton ordi est infecté, mais certains points restent obscurs.
Il n'y a que toi qui puisse savoir.

althea_vestrit · 18/04/2006, 12h06

Pour plus de surete tu peux faire un test en ligne : http://www.pandasoftware.com/activescan/fr/activescan_principal.htm

Il ne desinfecte pas, mais je pense qu'il est réellement complet. Tu peux aussi sauvegarder le rapport.

c'est un portable compaq? ta machine?

Damouille · 18/04/2006, 12h15

Selon M. Hijackthis, une seule ligne est suspecte :

O17 - HKLM\System\CCS\Services\Tcpip\..\{7D7CFFD7-CA22-403A-AD2F-7EA09BF26D02}: NameServer = 202.178.113.28,202.178.113.29

Et c'est la DNS de mon FAI

Je suis battu

Damouille · 18/04/2006, 12h17

C'est un portable HP, ref Compaq nx9010.

althea_vestrit · 18/04/2006, 12h32

fait analyser par panda - mon post precedant.

si cela ne montre rien - regarde le fichier sysoc.inf (qui se trouve dans C:\Windows\inf). il montre tous les programmes installés sur ta machine.

Damouille · 18/04/2006, 12h57

J'ai lance le test en ligne qui devrait avoir fini demain avec un peu de chance.
Je recapitule :
- Je surveille le reseau a l'aide de portqry V2. Aucune activite suspecte.
- J'ai analyse mes process avec hijackthis : rien d'anormal selon lui.
- Le service messenger est desactive.

Pourtant l'indesirable est bien la pour preuve, sa photo.

Suis-je vraiment battu et force de reinstaller mon systeme?

Y a t il une ultime chance de debusquer le malotru?

althea_vestrit · 18/04/2006, 13h19

je ne crois pas que tu vas devoir reinstaller le système. je ne pense pas que ton ordi soit vraiment infecté. Moi cela me rappelle une histoire d'une ami avec SaveError qui a installé juste une icône sur le bureau - c'est une technique de vente forcé - tu cliques dessous et tu t'es retrouves sur le site de la boite qui vends un antivirus ou un antispyware.
mais ATTENTION je ne te conseille pas de clicker dessus - cela peut-être un virus qui n'attend tu l'invites.

si Hijack ne voit rien ce qu'il n'est pas vraiment installé.

normalement panda est rapide - moi j'ai une connection modem (pas adsl) et je l'ai fait. donc t'inquiète pas.

mais grace à lui - il y une chance de savoir ou est il est placé ton machinchouette.

si panda ne trouve rien moi je le jettrais à la corbeille.

DiabloZizi · 18/04/2006, 13h44

Je pense aussi que ton pc n'a rien

Ton truc se lance au demarrage?

Louis-Guillaume Morand · 18/04/2006, 13h56

vous pensez bien

ca ressemble à 300% à un ADware.
le pc n'a rien et c'est juste de la pub. ou alors il a installé deux trois spywares inoffensifs pour "vendre" son produit.

bref, j'espère que tu n'es pas anglophobe car la solution de ton problème se trouve
==> ici <==

encore un adware ricain mais dont les serveurs sont cachés en philippine

edit: je me suis permis d'éditer le titre car je crois que tu ne seras pas le dernier à attraper la bête

Damouille · 19/04/2006, 12h32

Bonjour et merci a tous pour votre aide,

Felicitation a pharaonix, bien vu, c'est bien cet Adware la qui m'embette. Imaginez ma satisafaction, car habitant au Cambodge, j'ai poste mon probleme hier a 16H00 (GMT +7) et ce matin en arrivant au boulot, j'avais la solution. Donc merci encore pour la rapidite. Cependant, la desinfection totale est pour le moins difficile.

Le lien de pharaonix propose un kit de desinfection et une procedure manuelle. Attention, ce qui ressemble a un kit dedie a cet Adware est en fait le soft complet SpyDoctor. Il faut l'installer, le mettre a jour, s'inscrire, payer et ,selon les posts des utilisateurs, multiplier les "full scan" et redemarrages pour se debarrasser definitivement du vilain.

J'ai donc opte pour la procedure manuelle. Celle-ci se passe tres bien, certains fichiers necessitent le mode sans echec pour etre supprimes d'autres sont introuvables car Adaware et Spybot avaient deja fait un peu de menage (jusquela rien d'anormale). Juste une remarque, l'activeX a desinstaller n'est pas forcement stickrep.dll, pour moi, c'etait hp5640.tmp. Ce dernier est facilement identifiable via option Internet Options/programs/manage add-ons. Malheureusement, en redemarrant, j'avait toujours mon icone et mon message dans la tool bar, sans n'avoir plus aucun des fichiers ni valeurs du registre presents sur mon systeme (Rrrrrrr).

J'ai donc telecharge SpyDoctor, qui je le confirme, ne propose que de scanner en version Trial. La desinfection est payante. Ne voulant ni payer ni cracker le soft, j'ai edite le fichier log qui mettait en evidence d'autres emplacements ou ce cachait le vilain. En effet, il a trouve des raccourcis clairement imputable a l'Adware et des valeurs tres louches dans le registre (modifiant le comportement d'IE). J'ai TOUT supprime (en prennant garde de sauvegarder mon registre au prealable). Me croyant debarrasse, je redemarre et .... IL EST VRAIMENT COLLANT.

Donc, voici ma position actuelle. Il me reste a tester les autres softs conseilles sur le lien de pharaonix qui doivent regler ce probleme. Je vous soumet, cependant, un axe de reflexion. Lorsque je demarre mon PC en mode sans echec, il ne me reste uniquement, dans la barre des taches, que l'horloge et le fameux message (il doit donc se planquer dans un endroit identifiable, non?).

Bon, sinon, il me reste a multiplier les scan avec Spydoctor et tout resupprimer plusieur fois d'affille mais je m'en sent plus le courage aujourd'hui (17H29 a Phnom Penh). Bonne soiree. A suivre...

ggnore · 19/04/2006, 15h18

As tu désactivé la restauration du système ?
C'est un conseil qui revient souvent dans la désinfection de malwares.

Louis-Guillaume Morand · 19/04/2006, 15h33

je l'oublie tjs celle là car je la désactive à l'installation.
dernière chose, jeter manuellement un oeil a msconfig, car les antispwyare ne regardent jamais là.

ensuite, un bon logiciel gratuit comme ibprocman permet de savoir les processus lancés les fichiers chargés par ceci. c'est souvent un exe minimum voire un process systeme qui charge une dll qui recrée l'adware à chaque fois.
c'est "long" (10minutes) mais c'est souvent très efficace. ca permet de mieux connaitre les malwares et leur fonctionnement

DiabloZizi · 19/04/2006, 21h22

ca se désactive où la resto systeme?
Et ca gene en quoi?
Je sais, je peux rechercher mais bon :'(

Damouille · 20/04/2006, 05h26

Oui, j'ai desactive la restauration et ce, depuis l'installation de mon PC. D'ailleurs je regrette presque car il s'avere que, selon les messages laisses par d'autres utilisateurs, cela semble la meilleur facon et la plus rapide pour se debarrasser de ce probleme.

Damouille · 20/04/2006, 05h43

Quant au Msconfig, j'y ai en effet jete un coup d'oeuil. Mais, a part les onglets sartup, general et services, j'avoue que le reste me depasse un peu.

Damouille · 20/04/2006, 05h55

Desole de multiplier les posts consecutifs, mais j'avance au fur et a mesure en vous lisant. La partie services de msconfig me donne des informations que je ne connaissait pas. Dans le msconfig, un "manufactureur" est associe a chaque service (ce qui n'est pas le cas dans le dans le gestionnaire de service d'administrative tools). Et je remarques que certains sont inconnu. C'est le cas pour tous les services Symantec, mais ca c'est pas grave, mais aussi pour d'autres services qui ressembleraient pourtant comme deux gouttes d'eaux a des services windows du genre:
Machine debug manager : unknown
Office source engine : unknown (ca je pense que c'est open office)

Bah en fait c'est tout. Y'a que machine debug manager que je n'identifie pas.

18/04/2006, 10h41	#1
Damouille Membre confirmé Inscription : avril 2006 Messages : 268 Détails du profil Informations forums : Inscription : avril 2006 Messages : 268 Points : 241 Points : 241	[Virus?] icone dans la barre des tâches Bonjour, Je m'appelle Damien et je suis verolle Ni Norton, adaware, spybot ne l'on vu. Je me tappe donc un icone clignotant dans ma barre de tache qui affiche de facon recurente le message : "your computer has been infected by .... to protect your computer balalla..." Ma liste de process semble clean mes anti virus et apyware sont a jour Pas de tentative de connexion distante ni de port superflux ouverts Mes questions : - Comment puis-je trouver son emplacement sur mon systeme. - Y a t il un moyen de tracer un programme depuis son affichage dans la barre des taches? Merci
	00

18/04/2006, 11h59	#5
ggnore Modérateur Inscription : juillet 2004 Messages : 2 245 Détails du profil Informations personnelles : Âge : 33 Informations forums : Inscription : juillet 2004 Messages : 2 245 Points : 1 902 Points : 1 902	http://www.hijackthis.de/ Ce site t'analyse ton rapport. Il n'y a rien qui dit que ton ordi est infecté, mais certains points restent obscurs. Il n'y a que toi qui puisse savoir. __________________ Toutes les vertus des hommes se perdent dans l’intérêt comme les fleuves se perdent dans la mer.
	00

18/04/2006, 12h15	#7
Damouille Membre confirmé Inscription : avril 2006 Messages : 268 Détails du profil Informations forums : Inscription : avril 2006 Messages : 268 Points : 241 Points : 241	Analyse Hijackthis Selon M. Hijackthis, une seule ligne est suspecte : O17 - HKLM\System\CCS\Services\Tcpip\..\{7D7CFFD7-CA22-403A-AD2F-7EA09BF26D02}: NameServer = 202.178.113.28,202.178.113.29 Et c'est la DNS de mon FAI Je suis battu
	00

18/04/2006, 12h17	#8
Damouille Membre confirmé Inscription : avril 2006 Messages : 268 Détails du profil Informations forums : Inscription : avril 2006 Messages : 268 Points : 241 Points : 241	Information sur mon PC C'est un portable HP, ref Compaq nx9010.
	00

18/04/2006, 12h32	#9
althea_vestrit Membre à l'essai Inscription : janvier 2006 Messages : 34 Détails du profil Informations personnelles : Localisation : France, Paris (Île de France) Informations forums : Inscription : janvier 2006 Messages : 34 Points : 23 Points : 23	faut pas desesperer fait analyser par panda - mon post precedant. si cela ne montre rien - regarde le fichier sysoc.inf (qui se trouve dans C:\Windows\inf). il montre tous les programmes installés sur ta machine.
	00

18/04/2006, 11h24	#2
Kcirtap Membre éprouvé Inscription : juillet 2005 Messages : 556 Détails du profil Informations forums : Inscription : juillet 2005 Messages : 556 Points : 455 Points : 455	Salut Damien et bienvenue sur developpez.com Tu peux effectivement voir à quel process et lié une fenêtre avec Process Explorer de Sysinternals. @ plus
	00

18/04/2006, 11h31	#3
Ksual Membre chevronné Inscription : janvier 2006 Messages : 604 Détails du profil Informations personnelles : Âge : 30 Localisation : Belgique Informations forums : Inscription : janvier 2006 Messages : 604 Points : 677 Points : 677	Bonjour Damien et bienvenue sur le forum developpez.net, généralement ce sont des messages net send que tu reçois via le réseau qui peuvent être la cause de ton soucis, pour cela je te conseille lire l'article sur cette page et y appliquer les conseils. http://fr.wikipedia.org/wiki/Messenger_Spam ensuite, télécharge l'utilitaire HijackThis http://www.google.com/search?hl=en&q...=Google+Search le quel tu va dézipper dans un nouveau dossier que ta crées. tu lances l'exécutable et tu choisis l'option "Do a system scan and save log file", le fichier .txt tu peux le mettre en pièce jointe ou bien le contenu entre des balises pour une meilleure visibilité. les experts te diront quoi faire par la suite, mais attention à ne pas supprimer des entrées sans les avoir vérifie avant. te voilà avertis --
	00

18/04/2006, 12h06	#6
althea_vestrit Membre à l'essai Inscription : janvier 2006 Messages : 34 Détails du profil Informations personnelles : Localisation : France, Paris (Île de France) Informations forums : Inscription : janvier 2006 Messages : 34 Points : 23 Points : 23	Pour plus de surete tu peux faire un test en ligne : http://www.pandasoftware.com/activescan/fr/activescan_principal.htm Il ne desinfecte pas, mais je pense qu'il est réellement complet. Tu peux aussi sauvegarder le rapport. c'est un portable compaq? ta machine?
	00

18/04/2006, 13h19	#11
althea_vestrit Membre à l'essai Inscription : janvier 2006 Messages : 34 Détails du profil Informations personnelles : Localisation : France, Paris (Île de France) Informations forums : Inscription : janvier 2006 Messages : 34 Points : 23 Points : 23	je ne crois pas que tu vas devoir reinstaller le système. je ne pense pas que ton ordi soit vraiment infecté. Moi cela me rappelle une histoire d'une ami avec SaveError qui a installé juste une icône sur le bureau - c'est une technique de vente forcé - tu cliques dessous et tu t'es retrouves sur le site de la boite qui vends un antivirus ou un antispyware. mais ATTENTION je ne te conseille pas de clicker dessus - cela peut-être un virus qui n'attend tu l'invites. si Hijack ne voit rien ce qu'il n'est pas vraiment installé. normalement panda est rapide - moi j'ai une connection modem (pas adsl) et je l'ai fait. donc t'inquiète pas. mais grace à lui - il y une chance de savoir ou est il est placé ton machinchouette. si panda ne trouve rien moi je le jettrais à la corbeille.
	00

18/04/2006, 13h44	#12
DiabloZizi Membre confirmé Inscription : février 2006 Messages : 432 Détails du profil Informations personnelles : Localisation : France Informations forums : Inscription : février 2006 Messages : 432 Points : 271 Points : 271	Je pense aussi que ton pc n'a rien Ton truc se lance au demarrage?
	00

18/04/2006, 13h56	#13
Louis-Guillaume Morand Rédacteur Louis-Guillaume MORAND Consultant @ Microsoft Inscription : mars 2003 Messages : 10 713 Détails du profil Informations personnelles : Nom : Louis-Guillaume MORAND Localisation : France, Hauts de Seine (Île de France) Informations professionnelles : Activité : Consultant @ Microsoft Secteur : Conseil Informations forums : Inscription : mars 2003 Messages : 10 713 Points : 15 946 Points : 15 946	vous pensez bien ca ressemble à 300% à un ADware. le pc n'a rien et c'est juste de la pub. ou alors il a installé deux trois spywares inoffensifs pour "vendre" son produit. bref, j'espère que tu n'es pas anglophobe car la solution de ton problème se trouve ==> ici <== encore un adware ricain mais dont les serveurs sont cachés en philippine edit: je me suis permis d'éditer le titre car je crois que tu ne seras pas le dernier à attraper la bête
	00

19/04/2006, 12h32	#14
Damouille Membre confirmé Inscription : avril 2006 Messages : 268 Détails du profil Informations forums : Inscription : avril 2006 Messages : 268 Points : 241 Points : 241	Desinfection douloureuse Bonjour et merci a tous pour votre aide, Felicitation a pharaonix, bien vu, c'est bien cet Adware la qui m'embette. Imaginez ma satisafaction, car habitant au Cambodge, j'ai poste mon probleme hier a 16H00 (GMT +7) et ce matin en arrivant au boulot, j'avais la solution. Donc merci encore pour la rapidite. Cependant, la desinfection totale est pour le moins difficile. Le lien de pharaonix propose un kit de desinfection et une procedure manuelle. Attention, ce qui ressemble a un kit dedie a cet Adware est en fait le soft complet SpyDoctor. Il faut l'installer, le mettre a jour, s'inscrire, payer et ,selon les posts des utilisateurs, multiplier les "full scan" et redemarrages pour se debarrasser definitivement du vilain. J'ai donc opte pour la procedure manuelle. Celle-ci se passe tres bien, certains fichiers necessitent le mode sans echec pour etre supprimes d'autres sont introuvables car Adaware et Spybot avaient deja fait un peu de menage (jusquela rien d'anormale). Juste une remarque, l'activeX a desinstaller n'est pas forcement stickrep.dll, pour moi, c'etait hp5640.tmp. Ce dernier est facilement identifiable via option Internet Options/programs/manage add-ons. Malheureusement, en redemarrant, j'avait toujours mon icone et mon message dans la tool bar, sans n'avoir plus aucun des fichiers ni valeurs du registre presents sur mon systeme (Rrrrrrr). J'ai donc telecharge SpyDoctor, qui je le confirme, ne propose que de scanner en version Trial. La desinfection est payante. Ne voulant ni payer ni cracker le soft, j'ai edite le fichier log qui mettait en evidence d'autres emplacements ou ce cachait le vilain. En effet, il a trouve des raccourcis clairement imputable a l'Adware et des valeurs tres louches dans le registre (modifiant le comportement d'IE). J'ai TOUT supprime (en prennant garde de sauvegarder mon registre au prealable). Me croyant debarrasse, je redemarre et .... IL EST VRAIMENT COLLANT. Donc, voici ma position actuelle. Il me reste a tester les autres softs conseilles sur le lien de pharaonix qui doivent regler ce probleme. Je vous soumet, cependant, un axe de reflexion. Lorsque je demarre mon PC en mode sans echec, il ne me reste uniquement, dans la barre des taches, que l'horloge et le fameux message (il doit donc se planquer dans un endroit identifiable, non?). Bon, sinon, il me reste a multiplier les scan avec Spydoctor et tout resupprimer plusieur fois d'affille mais je m'en sent plus le courage aujourd'hui (17H29 a Phnom Penh). Bonne soiree. A suivre...
	00

19/04/2006, 15h18	#15
ggnore Modérateur Inscription : juillet 2004 Messages : 2 245 Détails du profil Informations personnelles : Âge : 33 Informations forums : Inscription : juillet 2004 Messages : 2 245 Points : 1 902 Points : 1 902	As tu désactivé la restauration du système ? C'est un conseil qui revient souvent dans la désinfection de malwares. __________________ Toutes les vertus des hommes se perdent dans l’intérêt comme les fleuves se perdent dans la mer.
	00

19/04/2006, 15h33	#16
Louis-Guillaume Morand Rédacteur Louis-Guillaume MORAND Consultant @ Microsoft Inscription : mars 2003 Messages : 10 713 Détails du profil Informations personnelles : Nom : Louis-Guillaume MORAND Localisation : France, Hauts de Seine (Île de France) Informations professionnelles : Activité : Consultant @ Microsoft Secteur : Conseil Informations forums : Inscription : mars 2003 Messages : 10 713 Points : 15 946 Points : 15 946	je l'oublie tjs celle là car je la désactive à l'installation. dernière chose, jeter manuellement un oeil a msconfig, car les antispwyare ne regardent jamais là. ensuite, un bon logiciel gratuit comme ibprocman permet de savoir les processus lancés les fichiers chargés par ceci. c'est souvent un exe minimum voire un process systeme qui charge une dll qui recrée l'adware à chaque fois. c'est "long" (10minutes) mais c'est souvent très efficace. ca permet de mieux connaitre les malwares et leur fonctionnement __________________ moi c'est Louis-Guillaume, ni Louis, ni Guillaume mais Louis-Guillaume et je n'aide pas ceux qui écorchent mon nom
	00

19/04/2006, 21h22	#17
DiabloZizi Membre confirmé Inscription : février 2006 Messages : 432 Détails du profil Informations personnelles : Localisation : France Informations forums : Inscription : février 2006 Messages : 432 Points : 271 Points : 271	ca se désactive où la resto systeme? Et ca gene en quoi? Je sais, je peux rechercher mais bon :'(
	00

20/04/2006, 05h26	#18
Damouille Membre confirmé Inscription : avril 2006 Messages : 268 Détails du profil Informations forums : Inscription : avril 2006 Messages : 268 Points : 241 Points : 241	Restauration Windows Oui, j'ai desactive la restauration et ce, depuis l'installation de mon PC. D'ailleurs je regrette presque car il s'avere que, selon les messages laisses par d'autres utilisateurs, cela semble la meilleur facon et la plus rapide pour se debarrasser de ce probleme.
	00

20/04/2006, 05h43	#19
Damouille Membre confirmé Inscription : avril 2006 Messages : 268 Détails du profil Informations forums : Inscription : avril 2006 Messages : 268 Points : 241 Points : 241	Msconfig Quant au Msconfig, j'y ai en effet jete un coup d'oeuil. Mais, a part les onglets sartup, general et services, j'avoue que le reste me depasse un peu.
	00

20/04/2006, 05h55	#20
Damouille Membre confirmé Inscription : avril 2006 Messages : 268 Détails du profil Informations forums : Inscription : avril 2006 Messages : 268 Points : 241 Points : 241	Hey Desole de multiplier les posts consecutifs, mais j'avance au fur et a mesure en vous lisant. La partie services de msconfig me donne des informations que je ne connaissait pas. Dans le msconfig, un "manufactureur" est associe a chaque service (ce qui n'est pas le cas dans le dans le gestionnaire de service d'administrative tools). Et je remarques que certains sont inconnu. C'est le cas pour tous les services Symantec, mais ca c'est pas grave, mais aussi pour d'autres services qui ressembleraient pourtant comme deux gouttes d'eaux a des services windows du genre: Machine debug manager : unknown Office source engine : unknown (ca je pense que c'est open office) Bah en fait c'est tout. Y'a que machine debug manager que je n'identifie pas.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email