Répondre à la discussion
Affichage des résultats 1 à 10 sur 10

Spyware - Besoin d'assistance



  1. #1
    Khufu

    Spyware - Besoin d'assistance


    ------

    J'ai un attrapé un truc sur mon PC :
    -------
    Symptomes
    -------
    - icone clignotante "Virus Alert!" dans la barre des taches avec message régulier "Your computer is infected"
    - IE démarre sur une page www.securitysafeguards.com ou www.spywarequake.com
    -------

    J'ai suivi la procédure indiqué dans : http://forums.futura-sciences.com/thread69698.html.

    Désolé je n'arrive pas a uploader les log, donc je les inclus dans ce message.

    Merci d'avance pour votre aide...

    ---------------------------------------------------------
    ewido anti-malware - Rapport de scan
    ---------------------------------------------------------

    + Créé le: 18:58:35, 25/03/2006
    + Somme de contrôle: 79FD7884

    + Résultats du scan:

    C:\Documents and Settings\Romain\Cookies\romain @atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
    C:\Documents and Settings\Romain\Cookies\romain @bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
    C:\Documents and Settings\Romain\Cookies\romain @doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

    ::Fin du rapport

    -------
    Log Hijackthis
    -------

    Logfile of HijackThis v1.99.1
    Scan saved at 18:59:11, on 25/03/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.e xe
    C:\WINDOWS\system32\services.e xe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.ex e
    C:\WINDOWS\System32\svchost.ex e
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.ex e
    C:\WINDOWS\System32\brss01a.ex e
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\WINDOWS\system32\rundll32.e xe
    C:\WINDOWS\soundman.exe
    C:\PROGRA~1\TEXTBR~1.0\Bin\INS TAN~1.EXE
    C:\Program Files\Fichiers communs\Real\Update_OB\realsch ed.exe
    C:\Program Files\Google\Gmail Notifier\gnotify.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\nvsvc32.ex e
    C:\WINDOWS\System32\svchost.ex e
    C:\WINDOWS\system32\ZoneLabs\v smon.exe
    C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
    E:\_Downloads\HijackThis\Hijac kThis.exe

    R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Window Title = Microsoft Internet Explorer
    R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.d ll
    O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll, NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
    O4 - HKLM\..\Run: [SoundMan] soundman.exe
    O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INS TAN~1.EXE /h
    O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REG IST~1.EXE
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsch ed.exe" -osboot
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck. exe
    O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REG IST~1.EXE
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\ EXCEL.EXE/3000
    O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
    O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
    O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
    O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget. exe
    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget. exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr...eleir_cert.cab
    O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093455997865
    O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www3.photoweb.fr/telechargeme...b_uploader.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadCont rol Class) - http://messenger.msn.com/download/ms...downloader.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp. dll" (file missing)
    O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
    O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing)
    O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.e xe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1 1\Intel 32\IDriverT.exe
    O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.ex e
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\v smon.exe

    -----

  2. #2
    Cyrrus

    Re : Spyware - Besoin d'assistance

    Bonsoir Khufu !

    Tout d'abord bienvenue sur Futura !

    Le rapport Ewido n'a rien trouvé de tranchant, et le log hijackthis est....propre (si j'ai bien vu, je suis un peu léssivé..)

    Par contre les symptomes sont assez parlant, surtout le SpywareQuake qui est tut juste entrain de fleurir sur les forums, en tant que nouvelle variante de Smitfraud. On va scanner avec l'outil de S!Ri, bien que celui ci n'est pas encore updaté pour SpywareQuake (il est travaille mais il lui faut encore quelques clés et analyser une dll).

    Bon, après ce petit hors d'oeuvre, passons à l'attaque :

    1/
    Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Dézipper la totalité de l'archive smitfraudfix.zip

    Utilisation ----- option 1 - Recherche :
    Double cliquer sur smitfraudfix.cmd
    Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.


    process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    http://www.beyondlogic.org/consulting/proc...processutil.htm
    Poster le rapport sur le forum (en fichier joint-gérer les pièces jointes dans la fenetre d'écriture- ou copie/colle si tu n'y arrive pas)

    Bonne soirée
    Cyrrus

  3. #3
    Khufu

    Re : Spyware - Besoin d'assistance

    Merci pour ta réponse rapide. Voici le rapport
    -------
    Merci de ta réponse.
    Voila le rappport.

    -------

    SmitFraudFix v2.25

    Rapport fait à 20:52:21,68 le 25/03/2006
    Executé à partir de E:\_Downloads\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Romain\Application Data
    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer
    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Favoris
    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau
    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
    »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues
    »»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau
    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Explorer\SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

    [HKEY_CLASSES_ROOT\CLSID\{43875 5C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
    @="%SystemRoot%\System32\brows eui.dll"

    [HKEY_LOCAL_MACHINE\Software\Cl asses\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
    @="%SystemRoot%\System32\brows eui.dll"


    [HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Explorer\SharedTaskScheduler]
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

    [HKEY_CLASSES_ROOT\CLSID\{8C746 1EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
    @="%SystemRoot%\System32\brows eui.dll"

    [HKEY_LOCAL_MACHINE\Software\Cl asses\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
    @="%SystemRoot%\System32\brows eui.dll"


    [HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Explorer\SharedTaskScheduler]
    "{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}"="USB Ware"

    [HKEY_CLASSES_ROOT\CLSID\{E2CA7 CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}\InProcServer32]
    @="C:\WINDOWS\system32\stickre p.dll"

    [HKEY_CURRENT_USER\Software\Cla sses\CLSID\{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}\InProcServer32]
    @="C:\WINDOWS\system32\stickre p.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

  4. #4
    igor51

    Re : Spyware - Besoin d'assistance

    Bonjour à tous,

    On va essayer un nouveau tool(je n'ai pas le nom de du créateur)

    Télécharge roguescanfix.exe:
    Sauvegarde le sur ton bureau, double clic sur roguescanfix.exe.
    Clique sur le bouton "install"
    Cela va créer un nouveau dossier sur le bureau appellé roguescanfix.
    Ouvre le dossier et clic sur : Run.bat
    Les icones du bureau vont disparaitre temporairement c'est normal !
    Attend que le message apparait "Completed script execution" et clic sur OK.
    Clic "exit" pour fermer l'application.
    Enfin: Clic "OK" pour démarrer le désinstalleur de Spyfalcon et/ou Spywarequake et clic sur "uninstall"

    et tiens nous au courant de ce qui se sera passé et si il y a encore des disfonctionnements.

    Bonne soirée,

    Igor
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  5. A voir en vidéo sur Futura
  6. #5
    Khufu

    Re : Spyware - Besoin d'assistance

    Tous les symptomes ont disparu.
    Merci beaucoup de votre aide ...

  7. #6
    Cyrrus

    Re : Spyware - Besoin d'assistance

    Bonjour Khufu,

    Non non non ce n'est pas terminé Khufu, du moins rien n'est moins sur, car SpywareQuake est une bestiole très récente. Nous devons vérifier que rien ne reste pour t'assurer de ta désinfection (et une fois cela fait te donner les éléments pour sécuriser ton système) !

    Le fix de S!Ri vient juste d'être uploadé, on va s'en servir :

    Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Dézipper la totalité de l'archive smitfraudfix.zip

    Utilisation ----- option 1 - Recherche :
    Double cliquer sur smitfraudfix.cmd
    Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
    Poster le rapport sur le forum.

    process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    http://www.beyondlogic.org/consulting/proc...processutil.htm [/quote]

    Poste le rapport qu'il te donnera

    Bonne journée
    Cyrrus

  8. #7
    igor51

    Re : Spyware - Besoin d'assistance

    Bonsoir à tous,

    je fais un petit up de cett discussion car c'est importantpour la recherche contre ce malware, le rapport généré montrera par ailleurs si le premier fix est éfficace et dans le cas échéant l'utilisation d'un autre fix sera alors employé.

    Bonne soirée,

    Igor
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  9. #8
    Cyrrus

    Re : Spyware - Besoin d'assistance

    Bonsoir igor,

    Mouai, j'ai bien peur qu'il soit partit sans se poser de questions une fois les symptomes disparu. De toute facon on a deux cas qui ont marché sur Zeb, il reste juste un .exe a enlevé manuellement car S!Ri ne l'as pas encore décortiqué et ajouté à SmitfraudFix.

    Bonne soirée en tout cas
    Cyrrus

  10. #9
    Khufu

    Re : Spyware - Besoin d'assistance

    Voici le rapport :

    SmitFraudFix v2.26

    Rapport fait à 7:01:38,40 le 27/03/2006
    Executé à partir de E:\_Downloads\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Romain\Application Data


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Favoris


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau



    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Explorer\SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

    [HKEY_CLASSES_ROOT\CLSID\{43875 5C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
    @="%SystemRoot%\System32\brows eui.dll"

    [HKEY_LOCAL_MACHINE\Software\Cl asses\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
    @="%SystemRoot%\System32\brows eui.dll"


    [HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Explorer\SharedTaskScheduler]
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

    [HKEY_CLASSES_ROOT\CLSID\{8C746 1EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
    @="%SystemRoot%\System32\brows eui.dll"

    [HKEY_LOCAL_MACHINE\Software\Cl asses\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
    @="%SystemRoot%\System32\brows eui.dll"


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

  11. #10
    JPL
    Responsable des forums

    Re : Spyware - Besoin d'assistance

    Modération

    Il est demandé dans la procédure http://forums.futura-sciences.com/thread69698.html de poster les rapports au format txt en pièce jointe pour éviter d'alourdir la lecture du forum.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

Discussions similaires

  1. Besoin d'assistance pour supprimer un fichier dans Windows Mails
    Par roro123 dans le forum Logiciel - Software - Open Source
    Réponses: 3
    Dernier message: 10/07/2007, 07h59
  2. Besoin d'aide SVP pour un Spyware
    Par roro123 dans le forum Internet - Réseau - Sécurité générale
    Réponses: 4
    Dernier message: 19/05/2007, 13h19
  3. Demande d'assistance
    Par tagman127 dans le forum Internet - Réseau - Sécurité générale
    Réponses: 0
    Dernier message: 22/02/2006, 10h23
  4. besoin dun avis sur ce report , je me suis enlever le spyware Sinnaka mais pas sur.
    Par compnoob dans le forum Internet - Réseau - Sécurité générale
    Réponses: 32
    Dernier message: 02/01/2006, 00h03
  5. capteur d'assistance au creneau
    Par Riffer dans le forum Technologies
    Réponses: 4
    Dernier message: 28/09/2005, 12h00
Découvrez nos comparatifs produits sur l'informatique et les technologies.