Discussion :

[Damouille]

Bonjour,

Je m'appelle Damien et je suis verolle

Ni Norton, adaware, spybot ne l'on vu. Je me tappe donc un icone clignotant dans ma barre de tache qui affiche de facon recurente le message : "your computer has been infected by .... to protect your computer balalla..."

Ma liste de process semble clean
mes anti virus et apyware sont a jour
Pas de tentative de connexion distante ni de port superflux ouverts

Mes questions :
- Comment puis-je trouver son emplacement sur mon systeme.
- Y a t il un moyen de tracer un programme depuis son affichage dans la barre des taches?

Merci

[Kcirtap]

Salut Damien et bienvenue sur developpez.com

Tu peux effectivement voir à quel process et lié une fenêtre avec Process Explorer de Sysinternals.

@ plus

[Ksual]

Bonjour Damien et bienvenue sur le forum developpez.net,

généralement ce sont des messages net send que tu reçois via le réseau qui peuvent être la cause de ton soucis, pour cela je te conseille lire l'article sur cette page et y appliquer les conseils. http://fr.wikipedia.org/wiki/Messenger_Spam

ensuite, télécharge l'utilitaire HijackThis http://www.google.com/search?hl=en&q...=Google+Search le quel tu va dézipper dans un nouveau dossier que ta crées.

tu lances l'exécutable et tu choisis l'option "Do a system scan and save log file", le fichier .txt tu peux le mettre en pièce jointe ou bien le contenu entre des balises pour une meilleure visibilité.

les experts te diront quoi faire par la suite, mais attention à ne pas supprimer des entrées sans les avoir vérifie avant.

te voilà avertis

--

[Damouille]

Voici le fichier log de Hijackthis. Je n'y ai rien vu d'anormal. Si le service permettant de recevoir des messages d'un server distant s'appele "messenger" (windows xp pro en anglais). Il n'est pas en cause car desactive depuis toujours.

[ggnore]

http://www.hijackthis.de/


Ce site t'analyse ton rapport.

Il n'y a rien qui dit que ton ordi est infecté, mais certains points restent obscurs.
Il n'y a que toi qui puisse savoir.

[althea_vestrit]

Pour plus de surete tu peux faire un test en ligne : http://www.pandasoftware.com/activescan/fr/activescan_principal.htm

Il ne desinfecte pas, mais je pense qu'il est réellement complet. Tu peux aussi sauvegarder le rapport.

c'est un portable compaq? ta machine?

[Damouille]

Selon M. Hijackthis, une seule ligne est suspecte :

O17 - HKLM\System\CCS\Services\Tcpip\..\{7D7CFFD7-CA22-403A-AD2F-7EA09BF26D02}: NameServer = 202.178.113.28,202.178.113.29

Et c'est la DNS de mon FAI

Je suis battu

[Damouille]

C'est un portable HP, ref Compaq nx9010.

[althea_vestrit]

fait analyser par panda - mon post precedant.

si cela ne montre rien - regarde le fichier sysoc.inf (qui se trouve dans C:\Windows\inf). il montre tous les programmes installés sur ta machine.

[Damouille]

J'ai lance le test en ligne qui devrait avoir fini demain avec un peu de chance.
Je recapitule :
- Je surveille le reseau a l'aide de portqry V2. Aucune activite suspecte.
- J'ai analyse mes process avec hijackthis : rien d'anormal selon lui.
- Le service messenger est desactive.

Pourtant l'indesirable est bien la pour preuve, sa photo.

Suis-je vraiment battu et force de reinstaller mon systeme?

Y a t il une ultime chance de debusquer le malotru?

[althea_vestrit]

je ne crois pas que tu vas devoir reinstaller le système. je ne pense pas que ton ordi soit vraiment infecté. Moi cela me rappelle une histoire d'une ami avec SaveError qui a installé juste une icône sur le bureau - c'est une technique de vente forcé - tu cliques dessous et tu t'es retrouves sur le site de la boite qui vends un antivirus ou un antispyware.
mais ATTENTION je ne te conseille pas de clicker dessus - cela peut-être un virus qui n'attend tu l'invites.

si Hijack ne voit rien ce qu'il n'est pas vraiment installé.

normalement panda est rapide - moi j'ai une connection modem (pas adsl) et je l'ai fait. donc t'inquiète pas.

mais grace à lui - il y une chance de savoir ou est il est placé ton machinchouette.

si panda ne trouve rien moi je le jettrais à la corbeille.

[DiabloZizi]

Je pense aussi que ton pc n'a rien

Ton truc se lance au demarrage?

[Louis-Guillaume Morand]

vous pensez bien
ca ressemble à 300% à un ADware.
le pc n'a rien et c'est juste de la pub. ou alors il a installé deux trois spywares inoffensifs pour "vendre" son produit.

bref, j'espère que tu n'es pas anglophobe car la solution de ton problème se trouve
==> ici <==


encore un adware ricain mais dont les serveurs sont cachés en philippine





edit: je me suis permis d'éditer le titre car je crois que tu ne seras pas le dernier à attraper la bête

[Damouille]

Bonjour et merci a tous pour votre aide,

Felicitation a pharaonix, bien vu, c'est bien cet Adware la qui m'embette. Imaginez ma satisafaction, car habitant au Cambodge, j'ai poste mon probleme hier a 16H00 (GMT +7) et ce matin en arrivant au boulot, j'avais la solution. Donc merci encore pour la rapidite. Cependant, la desinfection totale est pour le moins difficile.

Le lien de pharaonix propose un kit de desinfection et une procedure manuelle. Attention, ce qui ressemble a un kit dedie a cet Adware est en fait le soft complet SpyDoctor. Il faut l'installer, le mettre a jour, s'inscrire, payer et ,selon les posts des utilisateurs, multiplier les "full scan" et redemarrages pour se debarrasser definitivement du vilain.

J'ai donc opte pour la procedure manuelle. Celle-ci se passe tres bien, certains fichiers necessitent le mode sans echec pour etre supprimes d'autres sont introuvables car Adaware et Spybot avaient deja fait un peu de menage (jusquela rien d'anormale). Juste une remarque, l'activeX a desinstaller n'est pas forcement stickrep.dll, pour moi, c'etait hp5640.tmp. Ce dernier est facilement identifiable via option Internet Options/programs/manage add-ons. Malheureusement, en redemarrant, j'avait toujours mon icone et mon message dans la tool bar, sans n'avoir plus aucun des fichiers ni valeurs du registre presents sur mon systeme (Rrrrrrr).

J'ai donc telecharge SpyDoctor, qui je le confirme, ne propose que de scanner en version Trial. La desinfection est payante. Ne voulant ni payer ni cracker le soft, j'ai edite le fichier log qui mettait en evidence d'autres emplacements ou ce cachait le vilain. En effet, il a trouve des raccourcis clairement imputable a l'Adware et des valeurs tres louches dans le registre (modifiant le comportement d'IE). J'ai TOUT supprime (en prennant garde de sauvegarder mon registre au prealable). Me croyant debarrasse, je redemarre et .... IL EST VRAIMENT COLLANT.

Donc, voici ma position actuelle. Il me reste a tester les autres softs conseilles sur le lien de pharaonix qui doivent regler ce probleme. Je vous soumet, cependant, un axe de reflexion. Lorsque je demarre mon PC en mode sans echec, il ne me reste uniquement, dans la barre des taches, que l'horloge et le fameux message (il doit donc se planquer dans un endroit identifiable, non?).

Bon, sinon, il me reste a multiplier les scan avec Spydoctor et tout resupprimer plusieur fois d'affille mais je m'en sent plus le courage aujourd'hui (17H29 a Phnom Penh). Bonne soiree. A suivre...

[ggnore]

As tu désactivé la restauration du système ?
C'est un conseil qui revient souvent dans la désinfection de malwares.

[Louis-Guillaume Morand]

je l'oublie tjs celle là car je la désactive à l'installation.
dernière chose, jeter manuellement un oeil a msconfig, car les antispwyare ne regardent jamais là.

ensuite, un bon logiciel gratuit comme ibprocman permet de savoir les processus lancés les fichiers chargés par ceci. c'est souvent un exe minimum voire un process systeme qui charge une dll qui recrée l'adware à chaque fois.
c'est "long" (10minutes) mais c'est souvent très efficace. ca permet de mieux connaitre les malwares et leur fonctionnement

[DiabloZizi]

ca se désactive où la resto systeme?
Et ca gene en quoi?
Je sais, je peux rechercher mais bon :'(

[Damouille]

Oui, j'ai desactive la restauration et ce, depuis l'installation de mon PC. D'ailleurs je regrette presque car il s'avere que, selon les messages laisses par d'autres utilisateurs, cela semble la meilleur facon et la plus rapide pour se debarrasser de ce probleme.

[Damouille]

Quant au Msconfig, j'y ai en effet jete un coup d'oeuil. Mais, a part les onglets sartup, general et services, j'avoue que le reste me depasse un peu.

[Damouille]

Desole de multiplier les posts consecutifs, mais j'avance au fur et a mesure en vous lisant. La partie services de msconfig me donne des informations que je ne connaissait pas. Dans le msconfig, un "manufactureur" est associe a chaque service (ce qui n'est pas le cas dans le dans le gestionnaire de service d'administrative tools). Et je remarques que certains sont inconnu. C'est le cas pour tous les services Symantec, mais ca c'est pas grave, mais aussi pour d'autres services qui ressembleraient pourtant comme deux gouttes d'eaux a des services windows du genre:
Machine debug manager : unknown
Office source engine : unknown (ca je pense que c'est open office)

Bah en fait c'est tout. Y'a que machine debug manager que je n'identifie pas.