Forum Clubic

Problème avec la connexion / bloquer un fichier

Hello :stuck_out_tongue:

J’ai un problème depuis quelques jours, un fichier se lance automatiquement avec le démarrage et fait planter ma connexion internet après quelques minutes (il ne la fait pas planter, mais bloque les données et donc une erreur 404 s’affiche a chaque page).

Ce fichier est winsupdater.exe

J’ai configuré le firewall pour qu’il le bloque à chaque fois qu’il se lance, mais il ne le ferme pas au démarrage de windows ce qui est assez gênant.

Il y a un moyen pour éviter que je doive le fermer à chaque fois manuellement ?

Merci :wink:
++

Virusman, tu reconnais pas tes collègues Spy ? :wink:
–> passe un scan de Ad-aware/Spybot/HijackThis/antivirus en ligne et cie.

Je m’y attendais à cette remarque :smiley: :stuck_out_tongue:

J’y ai déjà pensé, je l’ai fais avec Ad Aware qui a supprimmé quelques 67 fichiers (ça va vite, j’ai réinstallé Windows il y a moins de 2 heures, mais ce problème perciste après plusieurs formatages ces derniers jours).

Je vais essayer les autres logiciels anti-spy.

Merci :wink:

:wink:

Si un doute, poste ton log HijackThis.

bonjour,

+1 pour HijackThis :wink:

sinon voilà un exécutable qui va décortiquer le démarrage de la machine http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml ,pour son usage un screen : http://storage.msn.com/x1pqP5noGPWAA48_cU511JGeoWakp_8RoOAPeVWcBDZkC7OWyDVynh7s_U1t7HPfPz-BNJ37YRAsQiXTG3dP4oiBneMvDJUeuDS2ixJMggzIojSdiSG4e8tug

+++

Mon log HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 13:13:53, on 04.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\Roxio\GoBack\GBTray.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Roxio\GoBack\GBPoll.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\DOCUME~1\David\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://blueadit.bluewin.ch/adsl/atel/index_f.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM…\Run: [ccRegVfy] “C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe”
O4 - HKLM…\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM…\Run: [SpeedTouch USB Diagnostics] “C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe” /icon
O4 - HKLM…\Run: [Symantec NetDriver Monitor] C:\RECYCLER\S-1-5-21-1177238915-152049171-725345543-1004\Dc7\SNDMon.exe
O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [WindowsRegKey update] winupdate.exe
O4 - HKLM…\Run: [MicroSoft Window Updater] winsupdater.exe
O4 - HKLM…\RunServices: [WindowsRegKey update] winupdate.exe
O4 - HKLM…\RunServices: [MicroSoft Window Updater] winsupdater.exe
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU…\Run: [WindowsRegKey update] winupdate.exe
O4 - HKCU…\Run: [MicroSoft Window Updater] winsupdater.exe
O4 - HKCU…\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun
O4 - Global Startup: GoBack.lnk = C:\Program Files\Roxio\GoBack\GBTray.exe
O4 - Global Startup: Norton System Doctor.lnk = C:\Program Files\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger les tous avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Téléchargé le site avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://.bluewin.ch
O15 - Trusted Zone: http://
.clubic.com
O15 - Trusted Zone: http://.combattre-ou-mourir.net
O15 - Trusted Zone: http://
.planetehockey.com
O15 - Trusted Zone: http://.skyblog.net
O15 - Trusted Zone: http://
.web304.com
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O15 - ProtocolDefaults: ‘http’ protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112389686625
O17 - HKLM\System\CCS\Services\Tcpip…{4EEB2922-CF35-4D6E-9FDE-564AD0A3C01B}: NameServer = 195.186.4.108 195.186.1.109
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: GBPoll - Roxio, Inc. - C:\Program Files\Roxio\GoBack\GBPoll.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Merci :slight_smile:

salut, il me semble que tu sois infectée par une variante de RBOT ,apllique la manip ci-joint :slight_smile:

et nous faire parvenir les rapports des scans (les deux sysclean.com et tsc.exe) puis un nouveau .log de HijackThis

Merci, mais j’ai finalement résolu mon problème facilement en supprimmant ce fichier de démarrage avec msconfig :wink:

Si tu te contentes de ça, c’est ton choix : le virus reste encore bel et bien sur ton PC. A ta place, je les supprimerais pour de bon.

Ouaip je viens de faire tour ça et c’est ok, mais le virus et mon problème de connexion étaient 2 choses différentes apparement :slight_smile:

D’accord. TU peux poster le nouveau log HJT ?