Répondre à la discussion
Affichage des résultats 1 à 7 sur 7

Spyware qui redirige Firefox vers sites porno !



  1. #1
    ck32

    Spyware qui redirige Firefox vers sites porno !


    ------

    Bonsoir à tous !!!

    J'ai parcouru le forum et d'autre à la recherche d'une solution à mon problème informatique mais je n'ai pas trouvé de solution ni de cas similaires.

    Ma config :
    Laptop XP SP2 maj effectuées il y a une semaine,
    Kerio Personal Fireware et test en ligne OK avant l'infrection,
    Avast antivirus
    Adaware à jour
    Spybot Search and Dextroy à jour
    Spyware Doctor
    -------------------------------------------------
    Hier j'ai lancé un fichier executable recu par mail et depuis mon ordinateur est infesté de virus; spyware...Au moment ou j'ai lancé l'executable Kerio m'a averti d'une tentative d'intrusion et qu'un logiciel essayait d'inscrire du code dans winlogon.exe. Je pense que mon winlogon est corrompu et qu'il permet l'inscription dans les bases de registres de code malveillant !!!

    J'ai utiliser tous les antivirus, adaware spyboot, spyware doctor pour virer la plupart des troyens malware ou spyware mais il me reste toujours le probleme de redirection de ma page internet vers des sites commerciaux, porno... Tout cela a été fait en mode sans echec mais rien n'y fait...


    Je colle si dessous le log de Kerio et les fichiers incriminées :

    Log Kerio :

    [03/Dec/2005 15:36:46] "Hips" type = 'Code injection', action = 'denied', descr = 'Process C:\WINDOWS\tool4.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A0215)
    [03/Dec/2005 15:39:06] "Hips" type = 'Code injection', action = 'denied', descr = 'Process C:\WINDOWS\system32\socks.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A05B3)
    [03/Dec/2005 15:39:46] "Hips" type = 'Code injection', action = 'denied', descr = 'Process C:\WINDOWS\system32\socks.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A0626)
    [03/Dec/2005 18:42:56] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A047E)
    [03/Dec/2005 18:45:32] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A049D)
    [03/Dec/2005 18:52:56] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into (code address: 0x000A047E)
    [03/Dec/2005 21:39:12] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A047E)
    [03/Dec/2005 21:39:58] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A049D)
    [03/Dec/2005 21:49:40] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A047E)
    [04/Dec/2005 10:43:22] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A05B3)
    [04/Dec/2005 10:45:52] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A0626)

    D'après cela winlogon inscrit un code malveillant dans svchost qui permettrait la redirection de mes page web....


    Quand j'effectue mes scans même en mode sans echec il me trouve des inscriptions dans le registe que mes logiciels arrivent à virer mais il reviennent au bout de quelques minutes...

    Le log hijackthis montre ce qui suit ( En rouge ce qui me parait suscpicieux après une analyse du log en ligne) :

    Logfile of HijackThis v1.99.1
    Scan saved at 21:28:15, on 04/12/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.e xe
    C:\WINDOWS\system32\services.e xe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.ex e
    C:\WINDOWS\System32\svchost.ex e
    C:\WINDOWS\system32\spoolsv.ex e
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\WINDOWS\System32\svchost.ex e
    C:\Program Files\Spyware Doctor\sdhelp.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\system32\rundll32.e xe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\s3hotkey.e xe
    C:\WINDOWS\system32\S3tray.exe
    C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\Spyware Doctor\swdoctor.exe
    C:\WINDOWS\system32\CAPRPCSN.E XE
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\WINDOWS\system32\spool\driv ers\w32x86\2\CAPPSWN.EXE
    C:\WINDOWS\system32\spool\driv ers\w32x86\2\CAPPSWN.EXE
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Documents and Settings\Administrateur\Bureau \HijackThis.exe
    C:\WINDOWS\system32\wuauclt.ex e

    R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Page = about:blank
    R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page =
    R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Search Page = about:blank
    R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Start Page =
    R0 - HKLM\Software\Microsoft\Intern et Explorer\Search,SearchAssistan t = about:blank
    R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Local Page = about:blank
    R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Local Page = about:blank
    R1 - HKCU\Software\Microsoft\Intern et Connection Wizard,ShellNext = http://home.free.fr/
    R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
    O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\ies dsg.dll
    O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\ies dpb.dll
    O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Driv ers\w32x86\2\CAPONN.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck. exe
    O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
    O4 - HKLM\..\Run: [S3TRAY] S3tray.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
    O4 - Global Startup: Fenêtre d'état Canon LBP-800.LNK = C:\WINDOWS\system32\spool\driv ers\w32x86\2\CAPPSWN.EXE
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\ EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npj pi150_04.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npj pi150_04.dll
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\ies dpb.dll
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1132852450149
    O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\lv8209loe. dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Journal des événements (Eventlog) - ESS Technology, Inc. - (no file)
    O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - (no file)
    O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exe

    Quand j'essaie de virer les inscription en rouge qui me sembles dangereuses, elle reviennent au bout de quelques instants...


    Voila je pense avoir été complet !!!

    Qqn a t il une idée pour me debarasser de ce code malveillant ? Peut-on substituer un winlogon.exe saint à celui que je pense corrompu ? Comment ?

    Merci de m'éclairer car je ne veux pas directement reformater le DD...

    -----

  2. Publicité
  3. 📣 Nouveau projet éditorial de Futura
    🔥🧠 Le Mag Futura est lancé, découvrez notre 1er magazine papier

    Une belle revue de plus de 200 pages et 4 dossiers scientifiques pour tout comprendre à la science qui fera le futur. Nous avons besoin de vous 🙏 pour nous aider à le lancer...

    👉 Je découvre le projet

    Quatre questions à explorer en 2022 :
    → Quels mystères nous cache encore la Lune 🌙 ?
    → Pourra-t-on bientôt tout guérir grâce aux gènes 👩‍⚕️?
    → Comment nourrir le monde sans le détruire 🌍 ?
    → L’intelligence artificielle peut-elle devenir vraiment intelligente 🤖 ?
  4. #2
    JPL
    Responsable des forums

    Re : Spyware qui redirige Firefox vers sites porno !

    Citation Envoyé par ck32
    D'après cela winlogon inscrit un code malveillant dans svchost qui permettrait la redirection de mes page web....
    Non, si on lit bien le fichier incriminé n'est pas winlogon mais winlog on ! Il faudrait vérifier s'il y a bien les 2 fichiers et virer winlog on. Mais il ne semble pas être le seul en cause.
    Je vois aussi dans hijackthis winlogon.e xe, services.e xe, svchost.ex e

    Il faut quand même vérifier si ces espaces intempestifs ne sont pas tout simplement un artefact du copié-collé et s'ils existent bien dans les logs initiaux.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  5. #3
    traaf

    Re : Spyware qui redirige Firefox vers sites porno !

    Citation Envoyé par ck32
    Hier j'ai lancé un fichier executable recu par mail et depuis mon ordinateur est infesté de virus
    ah ben ouis mais bon , quoi !
    quelle idée aussi, on a beau avoir toutes ces protections a jour, c'est LA chose a ne pas faire

    bon courage

  6. #4
    ck32

    Re : Spyware qui redirige Firefox vers sites porno !

    Bonjour !

    @JPL : C'est vrai, je n'avais pas vu winlogon.e xe, services.e xe, svchost.ex e !!! Je vérifie cela dès ce soir quand je serai face à l'ordinateur... Il se peut que ce ne soit qu'un souci de copier/coller...

    @ traaf : Eh oui on se croit proteger et hop un clic sur un .exe et c'est la galère...

    Merci encore et @plus

  7. A voir en vidéo sur Futura
  8. #5
    Cyrrus

    Re : Spyware qui redirige Firefox vers sites porno !

    Bonsoir à tous,

    Ton rapport montre un signe d'infection par Looktome. Suit cette procédure je te prie :

    Télécharge L2MRemover.zip : http://www.simplytech.it/L2MRemover/L2MRemover.zip

    Dézippe le, installe l'exécutable dans C:\Program Files\Look2meRemover

    Supprime le Système de restauration :
    http://www.libellules.ch/desactiver_restauration.php

    1. Clique sur L2MRemover.exe, pour lancer le programme.
    2. Clique sur "About" > "Check for updates..." dans le menu du programme pour le mettre a jour.
    3. Clique sur "Scan" et attendre que le scan complet soit fait.
    4. Clique sur "Delete Keys" Boutton, pour nettoyer la base de registre.

    Si tu n'es pas sûr, tu peux cocher "Save before delete"
    pour avoir une sauvegarde des clés supprimées ; ceci créera un fichier .reg)

    Note :
    Si tu as un message d'erreur qui dit qu'il te faut le fichier Msinet.ocx ou Comctl32.ocx :
    Télécharge DLLs.zip et extrais les (en suivant les instructions du fichier ReadMe.txt), ou simplement télécharge Look2Me Remover Setup Kit
    Plus d'information sur Look2Me Remover V.1.0.0
    Remettre le Système de restauration :
    http://www.libellules.ch/desactiver_restauration.php

    Merci à SimplyTech, le concepteur de ce programme

  9. #6
    ck32

    Re : Spyware qui redirige Firefox vers sites porno !

    Merci pour toute les infos mais le situation est plus compliquée que ce qui est decrit par le fichier L2MRemover.zip !!! Cette saloperie se reinstalle dès que je l'ai viré !!! Bref j'ai finalement decidé de reformater et de reinstaller la config d'origine du laptop cad : win2k !!!


    Et là encore, suite à la reinstallation la phase de mise à jour de windows est devenu un moment où on se chope plus d'une centaine de vers malware, virus... qui exploitent les faillent de win2k cette la mise à jour !!!

    J'ai reussit presque tous à les virer mais il ne me reste plus qu'une soucis.

    Lors du demarrage, une application (fenêtre DOS)s'execute et me reinstalle un virus nommé bleh.exe) !!!
    Le virus est facile à virer mais à chaque redemarage la même fenêtre et le même fichier...

    Le log hijackthis ne montre rien de particulier (j'ai fait une analyse en ligne) :

    Logfile of HijackThis v1.99.1
    Scan saved at 09:51:00, on 13/12/2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\System32\HPConfig.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt .exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINNT\Explorer.exe
    C:\WINNT\system32\s3hotkey.exe
    C:\WINNT\system32\S3trayhp.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr .exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
    C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
    C:\Program Files\Soft4Ever\looknstop\look nstop.exe
    C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
    C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
    C:\Documents and ettings\Administrateur\Bureau\ HijackThis.exe

    R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Page = www.google.fr
    R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = www.free.fr
    R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Search Page = www.google.fr
    R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Start Page = www.free.fr
    R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
    F2 - REG:system.ini: Shell=C:\WINNT\Explorer.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
    O4 - HKLM\..\Run: [S3TRAYHP] S3trayhp.exe
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr .exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
    O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\look nstop.exe" -auto
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\ EXCEL.EXE/3000
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1133982656676
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: HP Configuration Service (HPConfig) - Hewlett-Packard - C:\WINNT\System32\HPConfig.exe

    QQn a t il une idée ? Comment peut on voir quelle application a généré un fichier lors du demarrage ?

    PS : En mode san echec, cette application ne lance pas et le fichier virus bleh.exe n'est pas généré !!!

    Merci
    @plus

  10. Publicité
  11. #7
    Cyrrus

    Re : Spyware qui redirige Firefox vers sites porno !

    Bref j'ai finalement decidé de reformater et de reinstaller la config d'origine du laptop cad : win2k !!!
    Grrrrr pourquoi n'as tu pas fait ce que je te demandais de faire. J'aurais pu m'en occupé aussi de ton problème de reinstallation, cette manip ciblait principalement L2M qui est parti lui, evidemment !

    Et là encore, suite à la reinstallation la phase de mise à jour de windows est devenu un moment où on se chope plus d'une centaine de vers malware, virus... qui exploitent les faillent de win2k cette la mise à jour !!!
    Tu n'aurais rien chopé de plus si tu n'avais pas formaté, maintenant tu est apparemment infecté, et tu n'as rien appris sur ton systeme...
    Passe un coup d'Ewido ( http://download.ewido.net/ewido-setup.exe ) en mode complet et sauve le rapport à la fin du scan. Poste le...si tu ne reformates pas bien sur.

    Cyrrus

Discussions similaires

  1. Pc qui rame et anti spyware
    Par dicident45 dans le forum Internet - Réseau - Sécurité générale
    Réponses: 5
    Dernier message: 22/07/2007, 12h13
  2. Spyware - Vers SINNAKA
    Par Rafracing dans le forum Internet - Réseau - Sécurité générale
    Réponses: 40
    Dernier message: 29/12/2005, 17h08
  3. Ad-Aware / Spyware Nuker : qui croire ?
    Par pmdec dans le forum Internet - Réseau - Sécurité générale
    Réponses: 4
    Dernier message: 13/10/2005, 22h03
  4. Firefox bloque l'accés à certains sites
    Par trebor dans le forum Internet - Réseau - Sécurité générale
    Réponses: 12
    Dernier message: 24/07/2005, 23h13
Découvrez nos comparatifs produits sur l'informatique et les technologies.