Répondre à la discussion
Affichage des résultats 1 à 12 sur 12

Virus alert, encore une fois...



  1. #1
    almako

    Virus alert, encore une fois...


    ------

    Bonjour à tous,

    Je suis venu sur votre forum ces derniers jours car j'ai été un des nombreux internautes à être infectés par le w32.sinnaka. J'ai réussi à réparer tous ça grâce à vos précieux conseils. Mais problème depuis, une icône "virus alert" s'affiche dans la barre des tâches. Elle est liée à la page web "spystriker" qui propose, bien sûr, d'acheter le programme permettant de nettoyer tout ça.
    Je n'arrive pas à trouver le programme malicieux à effacer. N'étant pas un génie de l'informatique, je vous confie les rapports Hijack et Ewido, comme cela est demandé, afin que vous puissiez m'aider. Un grand merci d'avance.




    --------------------------------------------
    Logfile of HijackThis v1.99.1
    Scan saved at 00:39:40, on 10/01/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.e xe
    C:\WINDOWS\system32\services.e xe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.e xe
    C:\WINDOWS\system32\svchost.ex e
    C:\WINDOWS\System32\svchost.ex e
    C:\WINDOWS\system32\spoolsv.ex e
    C:\Program Files\AVPersonal\AVGUARD.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\a vgamsvr.exe
    C:\WINDOWS\system32\Ati2evxx.e xe
    C:\PROGRA~1\Grisoft\AVGFRE~1\a vgupsvc.exe
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\drivers\CD AC11BA.EXE
    c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\WINDOWS\System32\FTRTSVC.ex e
    C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    C:\WINDOWS\System32\svchost.ex e
    C:\WINDOWS\system32\UAService7 .exe
    C:\Program Files\WinPoET\WrOS.EXE
    C:\Program Files\Inventel\Gateway\wlancfg .exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Java\j2re1.4.2_03\bin\ju sched.exe
    C:\windows\system\hpsysdrv.exe
    C:\WINDOWS\System32\hphmon05.e xe
    C:\WINDOWS\AGRSMMSG.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\ALCWZRD.EXE
    C:\WINDOWS\ALCMTR.EXE
    C:\WINDOWS\system32\ps2.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\a vgcc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\a vgemc.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsch ed.exe
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\PROGRA~1\HPPAVI~1\Pavilion\ XPHWWBS4\plugin\bin\pchbutton. exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
    C:\PROGRA~1\Wanadoo\EspaceWana doo.exe
    C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
    C:\PROGRA~1\INCRED~1\bin\IMApp .exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
    C:\PROGRA~1\Wanadoo\ComComp.ex e
    C:\PROGRA~1\Wanadoo\Toaster.ex e
    C:\PROGRA~1\Wanadoo\Inactivity .exe
    C:\PROGRA~1\Wanadoo\PollingMod ule.exe
    C:\WINDOWS\System32\ALERTM~1\A LERTM~1.EXE
    C:\PROGRA~1\Wanadoo\Watch.exe
    C:\WINDOWS\System32\svchost.ex e
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\PROGRA~1\INCRED~1\bin\IncMa il.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\ewido anti-malware\SecuritySuite.exe
    C:\Program Files\HJ\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
    R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://www.wanadoo.fr
    R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\ju sched.exe
    O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
    O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.e xe
    O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [UpdateManager] "c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\a vgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\a vgemc.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsch ed.exe" -osboot
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.ex e
    O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
    O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe
    O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\ XPHWWBS4\plugin\bin\pchbutton. exe
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAUL T=cnx|PARAM=
    O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail. exe /c
    O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Picture Package Menu.lnk = ?
    O4 - Global Startup: Picture Package VCD Maker.lnk = ?
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~2\Wanadoo Messager.exe
    O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~2\Wanadoo Messager.exe
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.d ll
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.e xe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a vgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a vgupsvc.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CD AC11BA.EXE
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.ex e
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1 050\Intel 32\IDriverT.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.e xe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7 .exe
    O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Program Files\WinPoET\WrOS.EXE
    O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg .exe

    -----

  2. Publicité
  3. #2
    almako

    Rapport Ewido

    Voici la suite...

    ---------------------------------------------------------
    ewido anti-malware - Rapport de scan
    ---------------------------------------------------------

    + Créé le: 00:50:37, 10/01/2006
    + Somme de contrôle: 5614ED01

    + Résultats du scan:

    C:\WINDOWS\wt\wtupdates\webd\4 .1.1\files\wtvh.dll -> Spyware.WildTangent : Ignoré
    C:\WINDOWS\wt\wtupdates\wtwebd river\files\3.3.1.001\npwthost .dll -> Spyware.WildTangent : Ignoré
    C:\WINDOWS\wt\wtupdates\wtwebd river\files\3.3.1.001\wtvh.dll -> Spyware.WildTangent : Ignoré
    C:\WINDOWS\wt\wtvh.dll -> Spyware.WildTangent : Ignoré
    C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@atdmt[2].txt -> Spyware.Cookie.Atdmt : Ignoré
    C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@bluestreak[1].txt -> Spyware.Cookie.Bluestreak : Ignoré
    C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Ignoré
    C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Ignoré
    C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@www.smartadserver[1].txt -> Spyware.Cookie.Smartadserver : Ignoré


    ::Fin du rapport


    Merci encore pour le temps que vous passerez à l'analyse de ces lignes !

  4. #3
    yoda1234

    Re : Virus alert, encore une fois...

    Bonjour
    tout d'abord, il semblerait que tu as deux AV's: Désinstalles en un, il se gènent l'un l'autre.
    J'ai remarqué que tu avais un processus malsain:
    C:\Program Files\WinPoET\WrOS.EXE
    Ensuite èxécutes cette petite procédure et repostes un log HJT en attendant des conseils avisés de Cyrrus.
    Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).

  5. #4
    Cyrrus

    Re : Virus alert, encore une fois...

    Bonjour almako, toda, à tou(te)s,

    'ai remarqué que tu avais un processus malsain:
    Citation:
    C:\Program Files\WinPoET\WrOS.EXE
    Nop, processus sain apparemment : voir ici

    Le rapport hijackthis est...propre (ou alors je suis embrumé du matin). On dirait que tu as ignoré à chaque fois dans Ewido, ce qui fait que tu n'as pas été desinfecté.
    Refais un scan complet, et supprime la bestiole à chaque fois. Poste le nouveau log Ewido.

    Je part dans 20min et je ne serais de retour que vendredi/samedi. Aussi il faudra faire sans moi...
    Tu va quand même passer un coup de Spysweeper :

    Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/products/spysweeper
    • Clique sur "Essayer".
    • Installe le programme. Une fois installé, il se lancera.
    • L'option de le mettre à jour s'affichera; clic Yes.
    • Lorsque les mises à jour seront installées, clic Options sur la gauche.
    • Clic sur l'onglet Sweep Options.
    • Sous What to Sweep, coche les options suivantes:
      • Sweep Memory
      • Sweep Registry
      • Sweep Cookies
      • Sweep All User Accounts
      • Enable Direct Disk Sweeping
      • Sweep Contents of Compressed Files
      • Sweep for Rootkits
      • DÉCOCHE Do not Sweep System Restore Folder.
    • Clic Sweep Now sur la gauche.
    • Clic sur Start.
    • Quand le scan est terminé, clic sur Next.
    • Assure-toi que tous les items sont cochés, puis clic sur Next.
    • Tous les items cochés seront éliminés.
    • Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.
    • Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.
    • Clic sur l'onglet Summary, puis clic sur Finish.
    • Colle le contenu du "Session Log" dans ta prochaine réponse.

    Poste le rapport d'Ewido, ainsi que le rapport de Spysweeper...
    Pense bien sur à desinstaller Spystriker par Ajout/Suppression de programmes.

    Bonne journée
    Cyrrus

  6. A voir en vidéo sur Futura
  7. #5
    yoda1234

    Re : Virus alert, encore une fois...

    Bonjour Cyrrus
    excuse moi d'insister mais que penses tu de ceci?
    Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).

  8. #6
    almako

    Re : Virus alert, encore une fois...

    Bonsoir à tous,

    Tout d'abord, merci Cyrrus pour les bons conseils. J'ai l'impression, après avoir fait les 2 scans et relancer la machine, que la vilaine bestiole est partie... enfin, attendons encore quelques heures voire quelques jours pour confirmer tout ça.

    J'envoie donc les 2 logs comme prévu:

    --------------------------------------------------------
    ewido anti-malware - Rapport de scan
    ---------------------------------------------------------

    + Créé le: 19:38:08, 10/01/2006
    + Somme de contrôle: DF277DE1

    + Résultats du scan:

    [1964] C:\WINDOWS\system32\netwrap.dl l -> Not-A-Virus.Hoax.Win32.Renos.am : Nettoyer et sauvegarder
    C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder
    C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@atdmt[2].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder
    C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@bluestreak[2].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
    C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
    C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@estat[1].txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder
    C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder
    C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@weborama[1].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
    C:\Documents and Settings\Propriétaire\Cookies\ propriétaire@www.smartadserver[1].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
    C:\Documents and Settings\Propriétaire\Local Settings\Application Data\IM\Runtime\Message\{A8ABD 609-4502-440D-9711-392E885496B4}\Show\Ebay-Rechnung.pdf3.exe -> Downloader.Agent.uf : Nettoyer et sauvegarder
    C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Wildtangent\Cdacache\00\0 0\0F.dat/files\wtvh.dll -> Spyware.WildTangent : Nettoyer et sauvegarder
    C:\Program Files\SpywareStrike\SpywareStr ike.exe -> Adware.Spyaxe : Nettoyer et sauvegarder
    C:\Program Files\WinPoET\WrDialer.exe -> Heuristic.Win32.Dialer : Nettoyer et sauvegarder
    C:\WINDOWS\system32\netwrap.dl l -> Not-A-Virus.Hoax.Win32.Renos.am : Nettoyer et sauvegarder
    C:\WINDOWS\wt\wtupdates\webd\4 .1.1\files\wtvh.dll -> Spyware.WildTangent : Nettoyer et sauvegarder
    C:\WINDOWS\wt\wtupdates\wtwebd river\files\3.3.1.001\npwthost .dll -> Spyware.WildTangent : Nettoyer et sauvegarder
    C:\WINDOWS\wt\wtupdates\wtwebd river\files\3.3.1.001\wtvh.dll -> Spyware.WildTangent : Nettoyer et sauvegarder
    C:\WINDOWS\wt\wtvh.dll -> Spyware.WildTangent : Nettoyer et sauvegarder


    ::Fin du rapport


    ********
    19:43: | Début de session, mardi 10 janvier 2006 |
    19:43: Spy Sweeper démarrée
    19:43: Analyse lancée avec la version des définitions 598
    19:43: Démarrage de l’analyse de la mémoire
    19:48: Analyse de la mémoire terminée, temps passé : 00:04:40
    19:48: Démarrage de l’analyse du Registre
    19:48: Trouvé Adware: antivirus gold
    19:48: HKCR\appid\{70f17c8c-1744-41b6-9d07-575db448dcc5}\ (1 traces secondaires) (ID = 103594)
    19:48: HKLM\software\classes\appid\{7 0f17c8c-1744-41b6-9d07-575db448dcc5}\ (1 traces secondaires) (ID = 103633)
    19:48: Trouvé Adware: tibs dialer
    19:48: HKLM\software\microsoft\window s\currentversion\policies\expl orer\run\ || ibs (ID = 143744)
    19:48: Trouvé Trojan Horse: trojan-backdoor-catan
    19:48: HKLM\software\catal\ (2 traces secondaires) (ID = 143987)
    19:48: Trouvé Adware: security2k hijacker
    19:48: HKLM\software\microsoft\window s\currentversion\explorer\brow ser helper objecta\ (2 traces secondaires) (ID = 735573)
    19:48: Trouvé Adware: hotconnect dialer
    19:48: HKU\S-1-5-21-2622501120-1846253480-221906956-1003\software\montorgueil\ (19 traces secondaires) (ID = 879699)
    19:48: Analyse du Registre terminée, temps passé :00:00:27
    19:49: Démarrage de l’analyse des cookies
    19:49: Trouvé Spy Cookie: adtech cookie
    19:49: propriétaire@adtech[2].txt (ID = 2155)
    19:49: Trouvé Spy Cookie: bluestreak cookie
    19:49: propriétaire@bluestreak[2].txt (ID = 2314)
    19:49: Trouvé Spy Cookie: tradedoubler cookie
    19:49: propriétaire@tradedoubler[1].txt (ID = 3575)
    19:49: Trouvé Spy Cookie: xiti cookie
    19:49: propriétaire@xiti[1].txt (ID = 3717)
    19:49: Analyse des cookies terminée, temps passé : 00:00:00
    19:49: Démarrage de l’analyse des fichiers
    20:07: Trouvé Adware: nvdialer
    20:07: games.exe (ID = 137596)
    20:17: Avertissement: Failed to open file "c:\recycler\s-1-5-21-2622501120-1846253480-221906956-1003\dc7.exe:zone.identifier". Le fichier spécifié est introuvable
    20:22: Analyse des fichiers terminée, temps passé : 00:33:21
    20:22: Analyse complète terminée. Durée 00:38:48
    20:22: Traces trouvées*: 36
    20:23: Processus de suppression lancé.
    20:23: Mise en quarantaine de toutes les traces*: security2k hijacker
    20:23: Mise en quarantaine de toutes les traces*: trojan-backdoor-catan
    20:23: Mise en quarantaine de toutes les traces*: tibs dialer
    20:23: Mise en quarantaine de toutes les traces*: antivirus gold
    20:23: Mise en quarantaine de toutes les traces*: hotconnect dialer
    20:23: Mise en quarantaine de toutes les traces*: nvdialer
    20:23: Mise en quarantaine de toutes les traces*: adtech cookie
    20:23: Mise en quarantaine de toutes les traces*: bluestreak cookie
    20:23: Mise en quarantaine de toutes les traces*: tradedoubler cookie
    20:23: Mise en quarantaine de toutes les traces*: xiti cookie
    20:23: Processus de suppression lancé. Durée 00:00:32
    ********
    19:40: | Début de session, mardi 10 janvier 2006 |
    19:40: Spy Sweeper démarrée
    19:40: Mise à jour des définitions de logiciels espions
    19:42: Les définitions de logiciels espions ont été mises à jour.
    19:43: | Fin de session, mardi 10 janvier 2006 |



    Spystriker s'était réinstallé pendant le scan de spysweeper. Le programme l'a noté et m'a demandé que faire au prochain redémmarage. Je l'ai bien sûr shooté. Ca semble marcher...

    En revanche, la question que soulève Yoda est intéressante. Je me suis posé beaucoup de questions à propos de ce fichier quand j'essayais d'élaguer il y a quelques jours. Qu'en penses-tu Cyrrus?

    Merci en tout cas pour vos réponses rapides. Je vous tiens au courant de l'évolution de tout ça.
    A très bientôt.

  9. Publicité
  10. #7
    almako

    Re : Virus alert, encore une fois...

    Bonsoir à tous,

    24h après le "grand ménage"; j'ai bien l'impression que tout est parti. En tout cas, toujours rien de bizarre dans la barre des tâches.

    J'ai l'impression que Spysweepeer a fait un gros boulot...

    Voilà, je vous tiens au courant de la suite

  11. #8
    Cyrrus

    Re : Virus alert, encore une fois...

    Bonsoir almeko, à tou(te)s,

    excuse moi d'insister mais que penses tu de ceci?
    Baaa j'aime pas çà, ta bdd dit vrai mais j'en ai deux autres qui la mettent en légitime (castlecops et liutilities, du sérieux). J'ai un peu peur que le mal se cache dans le bundle de l'installation. Vu que c'est un élément non essentiel, je peux la faire enlever (service +processus)...mais je suis tirailler...dans le doute, on va l'enlever...
    Bonne soirée et merci d'insister
    Cyrrus

    edit : almeko je viens de m'apercevoir dans le log de Spysweeper qu'il y avait un spyaxe dans le coin. Je prefere te faire passer le fix pour etre sur que cette cochonnerie soit bien partie, je te prepare tout çà !

  12. #9
    Cyrrus

    Re : Virus alert, encore une fois...

    Re à tou(te)s,

    1/ Télécharge SmitfraudFix de S!Ri

    # Dezipper la totalité de l'archive smitfraudfix.zip

    # Nettoyage:

    * Redemarrer l'ordinateur en mode sans echec (au démarrage de l'ordinateur, tapoter F8)
    * Double cliquer sur smitfraudfix.cmd
    * Sélectionner 2 dans le menu pour supprimer les fichiers respondables de l'infection.
    * A la question: Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
    * Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

    2/ Reéffectue un scan avec Spysweeper et poste son log.

    3/ J'ai bien envie de te faire enlever le processus douteux. Le problème est qu'il vient de WinPoet, et donc te ton routeur. Or dans le log d'Ewido on peut voir qu'il enleve un fichier de ton dossier WinPoet :
    C:\Program Files\WinPoET\WrDialer.exe -> Heuristic.Win32.Dialer : Nettoyer et sauvegarder
    On peut donc penser qu'Ewido connait ce dialer qui s'installe en bundle et l'a enlevé...j'hésite donc à te faire enlever l'autre processus...je vais me renseigner, en attendant renomme le fichier
    C:\Program Files\WinPoET\WrOS.EXE
    en WrOS.EXE-old. Si tu as des problèmes de connexion, redonne lui son vrai nom...

    Bonne soirée
    Cyrrus

  13. #10
    almako

    Re : Virus alert, encore une fois...

    Bonsoir Cyrrus,

    Voilà le scan de Spysweeper:

    ********
    16:05: | Début de session, dimanche 15 janvier 2006 |
    16:05: Spy Sweeper démarrée
    16:05: Analyse lancée avec la version des définitions 598
    16:05: Démarrage de l’analyse de la mémoire
    16:08: Analyse de la mémoire terminée, temps passé : 00:03:31
    16:08: Démarrage de l’analyse du Registre
    16:09: Analyse du Registre terminée, temps passé :00:00:21
    16:09: Démarrage de l’analyse des cookies
    16:09: Trouvé Spy Cookie: atlas dmt cookie
    16:09: propriétaire@atdmt[2].txt (ID = 2253)
    16:09: Trouvé Spy Cookie: tradedoubler cookie
    16:09: propriétaire@tradedoubler[2].txt (ID = 3575)
    16:09: Trouvé Spy Cookie: xiti cookie
    16:09: propriétaire@xiti[2].txt (ID = 3717)
    16:09: Analyse des cookies terminée, temps passé : 00:00:00
    16:09: Démarrage de l’analyse des fichiers
    16:45: Analyse des fichiers terminée, temps passé : 00:36:07
    16:45: Analyse complète terminée. Durée 00:40:12
    16:45: Traces trouvées : 3
    16:45: Processus de suppression lancé.
    16:45: Mise en quarantaine de toutes les traces : atlas dmt cookie
    16:45: Mise en quarantaine de toutes les traces : tradedoubler cookie
    16:45: Mise en quarantaine de toutes les traces : xiti cookie
    16:45: Processus de suppression lancé. Durée 00:00:01

    Sinon, tout est normal. Je n'ai eu aucun pb depuis que j'ai effectué le grand ménage.

    P.S: Je n'ai pas renommer le fichier WrOs, car je ne savais pas la démarche à effectuer.

  14. #11
    Cyrrus

    Re : Virus alert, encore une fois...

    Bonjour almako,

    Je suis presque convaincu que ce fichier est légitime. Spywaredata l'a classé "Safe" et jamais je n'ai vu cette bdd se trompé.
    On va en terminer avec ce processus par une analyse multiples :
    1/ Va sur ce site : http://virusscan.jotti.org/
    Clique sur Parcourir et va selectionner le fichier en question :
    C:\Program Files\WinPoET\WrOS.EXE
    Puis tu clique sur Submit.

    Le fichier sera analyse par 14 antivirus différent et tu auras la réponse de leur trouvaille. Dis moi s'il trouve quelque chose de méchant.
    Je pense que Yoda avait en partit aison, car sa page montre bien une magouille au niveau de ce logiciel. Neanmoins, la bestiole était en bundle et a été supprimer par Ewido. Je pense donc que ce fichier n'est pas malicieux, lui fait son boulot ^^

    Le scan de Spysweeper ne montre rien de malicieux. On peut donc penser que tu est clean.
    Je te poste quelques conseils pour t'empecher de rechoper de nouvelle cochonnerie.

    Bonne journée
    Cyrrus

  15. #12
    Cyrrus

    Re : Virus alert, encore une fois...

    Re,

    -
    Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )
    - pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier(journalier s'il le faut).
    - une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert)
    - ne pas utiliser de logiciel de Peer to Peer (les logiciels de P2P sont sources d infections virales)
    - une attitude vigilante (être l'affût des fonctionnements inhabituels de ton système)
    - nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defragmentation)
    Pour en savoir plus, consulte la page de ipl_001
    http://gerard.melone.free.fr/IT/IT-AM0.html


    Si tu veux toujours utiliser IE ! :

    -=> IE-SPYAD : (Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)
    Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg :
    les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit! )
    https://netfiles.uiuc.edu/ehowes/www...ce.htm#IESPYAD

    -=Pour te proteger efficacement=-


    -=> Firefox , un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe :

    -Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/
    -Tutorial pour le sécuriser: http://forum.zebulon.fr/index.php?showtopic=69628


    -=>Un vrai pare-feu (pas le joujou offert avec XP) :

    -Kerio
    -Zone Alarm
    -Sygate Personal Firewall Free

    tu trouveras ces 3 firewalls gratuits et performants avec des tutos pour les configurer ici http://forum.zebulon.fr/index.php?ac...=0#entry487252


    -=> SpywareBlaster :

    http://www.javacoolsoftware.com/downloads.html
    Son tuto:
    http://www.ordi-netfr.org/tutorialspywareblaster.html


    -=> SpyBot-Search & Destroy :

    http://spybot.safer-networking.de/fr...oad/index.html
    Son tuto
    http://assiste.free.fr/p/frameset/07...ch_destroy.php



    -=> ZebProtect :

    http://www.zebulon.fr/articles/zebprotect.php
    http://telechargement.zebulon.fr/123.html

    Birkoff

  16. Publicité

Discussions similaires

  1. Une fois à l'endroit, une fois à l'envers
    Par Worthing dans le forum Mathématiques du collège et du lycée
    Réponses: 3
    Dernier message: 14/10/2007, 14h35
  2. Infrarouge :) encore une fois
    Par ameno dans le forum Électronique
    Réponses: 6
    Dernier message: 12/01/2006, 20h24
  3. virus alert!!
    Par joooaooo dans le forum Internet - Réseau - Sécurité générale
    Réponses: 3
    Dernier message: 08/01/2006, 12h13
  4. Miscrosoft bloque ses concurrents encore une fois
    Par [RV] dans le forum Logiciel - Software - Open Source
    Réponses: 8
    Dernier message: 19/09/2003, 12h56
Découvrez nos comparatifs produits sur l'informatique et les technologies.