Virus alert, encore une fois... - Forum Internet - Réseau

almako · 10/01/2006, 00h45

Bonjour à tous,

Je suis venu sur votre forum ces derniers jours car j'ai été un des nombreux internautes à être infectés par le w32.sinnaka. J'ai réussi à réparer tous ça grâce à vos précieux conseils. Mais problème depuis, une icône "virus alert" s'affiche dans la barre des tâches. Elle est liée à la page web "spystriker" qui propose, bien sûr, d'acheter le programme permettant de nettoyer tout ça.
Je n'arrive pas à trouver le programme malicieux à effacer. N'étant pas un génie de l'informatique, je vous confie les rapports Hijack et Ewido, comme cela est demandé, afin que vous puissiez m'aider. Un grand merci d'avance.

--------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 00:39:40, on 10/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.e xe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\system32\spoolsv.ex e
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\a vgamsvr.exe
C:\WINDOWS\system32\Ati2evxx.e xe
C:\PROGRA~1\Grisoft\AVGFRE~1\a vgupsvc.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\drivers\CD AC11BA.EXE
c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\FTRTSVC.ex e
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\system32\UAService7 .exe
C:\Program Files\WinPoET\WrOS.EXE
C:\Program Files\Inventel\Gateway\wlancfg .exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Java\j2re1.4.2_03\bin\ju sched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\System32\hphmon05.e xe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\system32\ps2.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\a vgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\a vgemc.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsch ed.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\HPPAVI~1\Pavilion\ XPHWWBS4\plugin\bin\pchbutton. exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\PROGRA~1\Wanadoo\EspaceWana doo.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\PROGRA~1\INCRED~1\bin\IMApp .exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\PROGRA~1\Wanadoo\ComComp.ex e
C:\PROGRA~1\Wanadoo\Toaster.ex e
C:\PROGRA~1\Wanadoo\Inactivity .exe
C:\PROGRA~1\Wanadoo\PollingMod ule.exe
C:\WINDOWS\System32\ALERTM~1\A LERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\svchost.ex e
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\INCRED~1\bin\IncMa il.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\SecuritySuite.exe
C:\Program Files\HJ\HijackThis.exe

R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\ju sched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.e xe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdateManager] "c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\a vgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\a vgemc.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsch ed.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.ex e
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\ XPHWWBS4\plugin\bin\pchbutton. exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAUL T=cnx|PARAM=
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail. exe /c
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~2\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~2\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.d ll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.e xe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a vgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a vgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CD AC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.ex e
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1 050\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.e xe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7 .exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Program Files\WinPoET\WrOS.EXE
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg .exe

almako · 10/01/2006, 00h51

Voici la suite...

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 00:50:37, 10/01/2006
+ Somme de contrôle: 5614ED01

+ Résultats du scan:

C:\WINDOWS\wt\wtupdates\webd\4 .1.1\files\wtvh.dll -> Spyware.WildTangent : Ignoré
C:\WINDOWS\wt\wtupdates\wtwebd river\files\3.3.1.001\npwthost .dll -> Spyware.WildTangent : Ignoré
C:\WINDOWS\wt\wtupdates\wtwebd river\files\3.3.1.001\wtvh.dll -> Spyware.WildTangent : Ignoré
C:\WINDOWS\wt\wtvh.dll -> Spyware.WildTangent : Ignoré
C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@atdmt[2].txt -> Spyware.Cookie.Atdmt : Ignoré
C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@bluestreak[1].txt -> Spyware.Cookie.Bluestreak : Ignoré
C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Ignoré
C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Ignoré
C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@www.smartadserver[1].txt -> Spyware.Cookie.Smartadserver : Ignoré

::Fin du rapport

Merci encore pour le temps que vous passerez à l'analyse de ces lignes !

**yoda1234** · 10/01/2006, 07h13

Bonjour
tout d'abord, il semblerait que tu as deux AV's: Désinstalles en un, il se gènent l'un l'autre.
J'ai remarqué que tu avais un processus malsain:

Citation:

C:\Program Files\WinPoET\WrOS.EXE

Ensuite èxécutes cette petite procédure et repostes un log HJT en attendant des conseils avisés de Cyrrus.

**Cyrrus** · 10/01/2006, 10h28

Bonjour almako, toda, à tou(te)s,

Citation:

'ai remarqué que tu avais un processus malsain:
Citation:
C:\Program Files\WinPoET\WrOS.EXE

Nop, processus sain apparemment : voir ici

Le rapport hijackthis est...propre (ou alors je suis embrumé du matin). On dirait que tu as ignoré à chaque fois dans Ewido, ce qui fait que tu n'as pas été desinfecté.
Refais un scan complet, et supprime la bestiole à chaque fois. Poste le nouveau log Ewido.

Je part dans 20min et je ne serais de retour que vendredi/samedi. Aussi il faudra faire sans moi...
Tu va quand même passer un coup de Spysweeper :

Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/products/spysweeper

Clique sur "Essayer".
Installe le programme. Une fois installé, il se lancera.
L'option de le mettre à jour s'affichera; clic Yes.
Lorsque les mises à jour seront installées, clic Options sur la gauche.
Clic sur l'onglet Sweep Options.
Sous What to Sweep, coche les options suivantes:
- Sweep for Rootkits
- DÉCOCHE Do not Sweep System Restore Folder.
Clic Sweep Now sur la gauche.
Clic sur Start.
Quand le scan est terminé, clic sur Next.
Assure-toi que tous les items sont cochés, puis clic sur Next.
Tous les items cochés seront éliminés.
Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.
Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.
Clic sur l'onglet Summary, puis clic sur Finish.
Colle le contenu du "Session Log" dans ta prochaine réponse.

Poste le rapport d'Ewido, ainsi que le rapport de Spysweeper...
Pense bien sur à desinstaller Spystriker par Ajout/Suppression de programmes.

Bonne journée
Cyrrus

**yoda1234** · 10/01/2006, 13h20

Bonjour Cyrrus
excuse moi d'insister mais que penses tu de ceci?

almako · 10/01/2006, 21h05

Bonsoir à tous,

Tout d'abord, merci Cyrrus pour les bons conseils. J'ai l'impression, après avoir fait les 2 scans et relancer la machine, que la vilaine bestiole est partie... enfin, attendons encore quelques heures voire quelques jours pour confirmer tout ça.

J'envoie donc les 2 logs comme prévu:

--------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 19:38:08, 10/01/2006
+ Somme de contrôle: DF277DE1

+ Résultats du scan:

[1964] C:\WINDOWS\system32\netwrap.dl l -> Not-A-Virus.Hoax.Win32.Renos.am : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@atdmt[2].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@bluestreak[2].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@estat[1].txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@weborama[1].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@www.smartadserver[1].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\IM\Runtime\Message\{A8ABD 609-4502-440D-9711-392E885496B4}\Show\Ebay-Rechnung.pdf3.exe -> Downloader.Agent.uf : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Wildtangent\Cdacache\00\0 0\0F.dat/files\wtvh.dll -> Spyware.WildTangent : Nettoyer et sauvegarder
C:\Program Files\SpywareStrike\SpywareStr ike.exe -> Adware.Spyaxe : Nettoyer et sauvegarder
C:\Program Files\WinPoET\WrDialer.exe -> Heuristic.Win32.Dialer : Nettoyer et sauvegarder
C:\WINDOWS\system32\netwrap.dl l -> Not-A-Virus.Hoax.Win32.Renos.am : Nettoyer et sauvegarder
C:\WINDOWS\wt\wtupdates\webd\4 .1.1\files\wtvh.dll -> Spyware.WildTangent : Nettoyer et sauvegarder
C:\WINDOWS\wt\wtupdates\wtwebd river\files\3.3.1.001\npwthost .dll -> Spyware.WildTangent : Nettoyer et sauvegarder
C:\WINDOWS\wt\wtupdates\wtwebd river\files\3.3.1.001\wtvh.dll -> Spyware.WildTangent : Nettoyer et sauvegarder
C:\WINDOWS\wt\wtvh.dll -> Spyware.WildTangent : Nettoyer et sauvegarder

::Fin du rapport

********
19:43: | Début de session, mardi 10 janvier 2006 |
19:43: Spy Sweeper démarrée
19:43: Analyse lancée avec la version des définitions 598
19:43: Démarrage de l’analyse de la mémoire
19:48: Analyse de la mémoire terminée, temps passé : 00:04:40
19:48: Démarrage de l’analyse du Registre
19:48: Trouvé Adware: antivirus gold
19:48: HKCR\appid\{70f17c8c-1744-41b6-9d07-575db448dcc5}\ (1 traces secondaires) (ID = 103594)
19:48: HKLM\software\classes\appid\{7 0f17c8c-1744-41b6-9d07-575db448dcc5}\ (1 traces secondaires) (ID = 103633)
19:48: Trouvé Adware: tibs dialer
19:48: HKLM\software\microsoft\window s\currentversion\policies\expl orer\run\ || ibs (ID = 143744)
19:48: Trouvé Trojan Horse: trojan-backdoor-catan
19:48: HKLM\software\catal\ (2 traces secondaires) (ID = 143987)
19:48: Trouvé Adware: security2k hijacker
19:48: HKLM\software\microsoft\window s\currentversion\explorer\brow ser helper objecta\ (2 traces secondaires) (ID = 735573)
19:48: Trouvé Adware: hotconnect dialer
19:48: HKU\S-1-5-21-2622501120-1846253480-221906956-1003\software\montorgueil\ (19 traces secondaires) (ID = 879699)
19:48: Analyse du Registre terminée, temps passé :00:00:27
19:49: Démarrage de l’analyse des cookies
19:49: Trouvé Spy Cookie: adtech cookie
19:49: propriétaire@adtech[2].txt (ID = 2155)
19:49: Trouvé Spy Cookie: bluestreak cookie
19:49: propriétaire@bluestreak[2].txt (ID = 2314)
19:49: Trouvé Spy Cookie: tradedoubler cookie
19:49: propriétaire@tradedoubler[1].txt (ID = 3575)
19:49: Trouvé Spy Cookie: xiti cookie
19:49: propriétaire@xiti[1].txt (ID = 3717)
19:49: Analyse des cookies terminée, temps passé : 00:00:00
19:49: Démarrage de l’analyse des fichiers
20:07: Trouvé Adware: nvdialer
20:07: games.exe (ID = 137596)
20:17: Avertissement: Failed to open file "c:\recycler\s-1-5-21-2622501120-1846253480-221906956-1003\dc7.exe:zone.identifier". Le fichier spécifié est introuvable
20:22: Analyse des fichiers terminée, temps passé : 00:33:21
20:22: Analyse complète terminée. Durée 00:38:48
20:22: Traces trouvées*: 36
20:23: Processus de suppression lancé.
20:23: Mise en quarantaine de toutes les traces*: security2k hijacker
20:23: Mise en quarantaine de toutes les traces*: trojan-backdoor-catan
20:23: Mise en quarantaine de toutes les traces*: tibs dialer
20:23: Mise en quarantaine de toutes les traces*: antivirus gold
20:23: Mise en quarantaine de toutes les traces*: hotconnect dialer
20:23: Mise en quarantaine de toutes les traces*: nvdialer
20:23: Mise en quarantaine de toutes les traces*: adtech cookie
20:23: Mise en quarantaine de toutes les traces*: bluestreak cookie
20:23: Mise en quarantaine de toutes les traces*: tradedoubler cookie
20:23: Mise en quarantaine de toutes les traces*: xiti cookie
20:23: Processus de suppression lancé. Durée 00:00:32
********
19:40: | Début de session, mardi 10 janvier 2006 |
19:40: Spy Sweeper démarrée
19:40: Mise à jour des définitions de logiciels espions
19:42: Les définitions de logiciels espions ont été mises à jour.
19:43: | Fin de session, mardi 10 janvier 2006 |

Spystriker s'était réinstallé pendant le scan de spysweeper. Le programme l'a noté et m'a demandé que faire au prochain redémmarage. Je l'ai bien sûr shooté. Ca semble marcher...

En revanche, la question que soulève Yoda est intéressante. Je me suis posé beaucoup de questions à propos de ce fichier quand j'essayais d'élaguer il y a quelques jours. Qu'en penses-tu Cyrrus?

Merci en tout cas pour vos réponses rapides. Je vous tiens au courant de l'évolution de tout ça.
A très bientôt.

almako · 11/01/2006, 20h06

Bonsoir à tous,

24h après le "grand ménage"; j'ai bien l'impression que tout est parti. En tout cas, toujours rien de bizarre dans la barre des tâches.

J'ai l'impression que Spysweepeer a fait un gros boulot...

Voilà, je vous tiens au courant de la suite

**Cyrrus** · 13/01/2006, 19h14

Bonsoir almeko, à tou(te)s,

Citation:

excuse moi d'insister mais que penses tu de ceci?

Baaa j'aime pas çà, ta bdd dit vrai mais j'en ai deux autres qui la mettent en légitime (castlecops et liutilities, du sérieux). J'ai un peu peur que le mal se cache dans le bundle de l'installation. Vu que c'est un élément non essentiel, je peux la faire enlever (service +processus)...mais je suis tirailler...dans le doute, on va l'enlever...
Bonne soirée et merci d'insister
Cyrrus

edit : almeko je viens de m'apercevoir dans le log de Spysweeper qu'il y avait un spyaxe dans le coin. Je prefere te faire passer le fix pour etre sur que cette cochonnerie soit bien partie, je te prepare tout çà !

**Cyrrus** · 13/01/2006, 19h27

Re à tou(te)s,

1/ Télécharge SmitfraudFix de S!Ri

# Dezipper la totalité de l'archive smitfraudfix.zip

# Nettoyage:

* Redemarrer l'ordinateur en mode sans echec (au démarrage de l'ordinateur, tapoter F8)
* Double cliquer sur smitfraudfix.cmd
* Sélectionner 2 dans le menu pour supprimer les fichiers respondables de l'infection.
* A la question: Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
* Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

2/ Reéffectue un scan avec Spysweeper et poste son log.

3/ J'ai bien envie de te faire enlever le processus douteux. Le problème est qu'il vient de WinPoet, et donc te ton routeur. Or dans le log d'Ewido on peut voir qu'il enleve un fichier de ton dossier WinPoet :

Citation:

C:\Program Files\WinPoET\WrDialer.exe -> Heuristic.Win32.Dialer : Nettoyer et sauvegarder

On peut donc penser qu'Ewido connait ce dialer qui s'installe en bundle et l'a enlevé...j'hésite donc à te faire enlever l'autre processus...je vais me renseigner, en attendant renomme le fichier

Citation:

C:\Program Files\WinPoET\WrOS.EXE

en WrOS.EXE-old. Si tu as des problèmes de connexion, redonne lui son vrai nom...

Bonne soirée
Cyrrus

almako · 15/01/2006, 22h27

Bonsoir Cyrrus,

Voilà le scan de Spysweeper:

********
16:05: | Début de session, dimanche 15 janvier 2006 |
16:05: Spy Sweeper démarrée
16:05: Analyse lancée avec la version des définitions 598
16:05: Démarrage de l’analyse de la mémoire
16:08: Analyse de la mémoire terminée, temps passé : 00:03:31
16:08: Démarrage de l’analyse du Registre
16:09: Analyse du Registre terminée, temps passé :00:00:21
16:09: Démarrage de l’analyse des cookies
16:09: Trouvé Spy Cookie: atlas dmt cookie
16:09: propriétaire@atdmt[2].txt (ID = 2253)
16:09: Trouvé Spy Cookie: tradedoubler cookie
16:09: propriétaire@tradedoubler[2].txt (ID = 3575)
16:09: Trouvé Spy Cookie: xiti cookie
16:09: propriétaire@xiti[2].txt (ID = 3717)
16:09: Analyse des cookies terminée, temps passé : 00:00:00
16:09: Démarrage de l’analyse des fichiers
16:45: Analyse des fichiers terminée, temps passé : 00:36:07
16:45: Analyse complète terminée. Durée 00:40:12
16:45: Traces trouvées : 3
16:45: Processus de suppression lancé.
16:45: Mise en quarantaine de toutes les traces : atlas dmt cookie
16:45: Mise en quarantaine de toutes les traces : tradedoubler cookie
16:45: Mise en quarantaine de toutes les traces : xiti cookie
16:45: Processus de suppression lancé. Durée 00:00:01

Sinon, tout est normal. Je n'ai eu aucun pb depuis que j'ai effectué le grand ménage.

P.S: Je n'ai pas renommer le fichier WrOs, car je ne savais pas la démarche à effectuer.

**Cyrrus** · 16/01/2006, 10h51

Bonjour almako,

Je suis presque convaincu que ce fichier est légitime. Spywaredata l'a classé "Safe" et jamais je n'ai vu cette bdd se trompé.
On va en terminer avec ce processus par une analyse multiples :
1/ Va sur ce site : http://virusscan.jotti.org/
Clique sur Parcourir et va selectionner le fichier en question :

Citation:

C:\Program Files\WinPoET\WrOS.EXE

Puis tu clique sur Submit.

Le fichier sera analyse par 14 antivirus différent et tu auras la réponse de leur trouvaille. Dis moi s'il trouve quelque chose de méchant.
Je pense que Yoda avait en partit aison, car sa page montre bien une magouille au niveau de ce logiciel. Neanmoins, la bestiole était en bundle et a été supprimer par Ewido. Je pense donc que ce fichier n'est pas malicieux, lui fait son boulot ^^

Le scan de Spysweeper ne montre rien de malicieux. On peut donc penser que tu est clean.
Je te poste quelques conseils pour t'empecher de rechoper de nouvelle cochonnerie.

Bonne journée
Cyrrus

**Cyrrus** · 16/01/2006, 10h52

Re,

-

Citation:

Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )
- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier(journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert)
- ne pas utiliser de logiciel de Peer to Peer (les logiciels de P2P sont sources d infections virales)
- une attitude vigilante (être l'affût des fonctionnements inhabituels de ton système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defragmentation)

Pour en savoir plus, consulte la page de ipl_001
http://gerard.melone.free.fr/IT/IT-AM0.html

Si tu veux toujours utiliser IE ! :

-=> IE-SPYAD : (Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)
Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg :
les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit! )
https://netfiles.uiuc.edu/ehowes/www...ce.htm#IESPYAD

-=Pour te proteger efficacement=-

-=> Firefox , un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe :

-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/
-Tutorial pour le sécuriser: http://forum.zebulon.fr/index.php?showtopic=69628

-=>Un vrai pare-feu (pas le joujou offert avec XP) :

-Kerio
-Zone Alarm
-Sygate Personal Firewall Free

tu trouveras ces 3 firewalls gratuits et performants avec des tutos pour les configurer ici http://forum.zebulon.fr/index.php?act=ST&f...t=0#entry 487252

-=> SpywareBlaster :

http://www.javacoolsoftware.com/downloads.html
Son tuto:
http://www.ordi-netfr.org/tutorialspywareblaster.html

-=> SpyBot-Search & Destroy :

http://spybot.safer-networking.de/fr...oad/index.html
Son tuto
http://assiste.free.fr/p/frameset/07...ch_destroy.php

-=> ZebProtect :

http://www.zebulon.fr/articles/zebprotect.php
http://telechargement.zebulon.fr/123.html

Birkoff