Forum Clubic

Problème de trojan ou spyware /!\ - Fenetres de pubs perpétuelles

Bonjour tout le monde,

Je vous explique mon probleme : depuis une semaine maintenant, un programme parasite (spyware, trojan, ??) est installé sur mon système. Cela suite à un téléchargement ‘obscure’… :non:
Concrètement, de manière aléatoire mais très régulière : tout les 15-20 sec j’ai une nouvelle fenêtre Internet de pub qui s’ouvre :ouch:
Un des symptomes est que la plupart de ces pages internet à pour icône un damier noir & blanc.
J’ai essayer avec firewall (kerio), Kaspersky antivirus, Avast!, Spybot, plusieurs tests en ligne… rien n’y fait :frowning: Seul un des tests online n’a parlé brièvement de win32.canbede : un trojan qui correspondrait à mes symptomes. Problème je ne trouve aucun des fichiers caractéristique, ni les anti-virus :grrr:

L’une de mes grosses erreurs : je n’avais pas d’anti virus sur le moment de l’infection :frowning: !

HELP

ma config : WinXP SP2 ; ADSL 2+ ; XP 3500+ ; toute neuve…

merci par avance, ça devient TRES agaçant.
Bonne journée.

PS : J’ai effectué aussi un scan avec HijackThis : après analyse il n’y aurait rien d’anormal.

G déjà essayer avec spybot : ça ne donne rien.
Est-ce que c’est utile d’essayer Ad-aware ? :??:

si tu as un trojan il faut le detruire avec un av les anti spy ne servent a rien ce qui m etonne c est que kapersky ne la pas virer .j utilise çà depuis 2 ans et je n ai eu aucun probleme.par contre n oublie pas de virer la restauration si tu en a un avant de scaner

Tu devrais commencer par faire une petite analyse avec Hijack This ! pour déterminer de quoi il s’agit vraiment (poster ensuite le log pour demander conseils) : HiJackThis !
Tutoriel ici
Ensuite, un programme vraiment très efficace pour détecter et éliminer les spywares je trouve est Ewido (version gratuite ou payante : la version complète se désactive au bout de 15 jours si tu n’as pas acheté la licence et passe à la version gratuite moins complète) :
ewido (english)

Oui,c’est bizarre car c’est un très bon antivirus. Ewido inclut apparemment la détection des trojans donc je réitère quand même mon conseil (peut être le trojan désactive-t-il kapersky : après tout, c’est un antivirus très connu)

Merci pour Ewido : j’essaye tout de suite !
Sinon, j’ai déjà essayé HijackThis (ma derniere ligne du 1er message) -> rien :confused:

Et pour Kaspersky : c’est bien possible, les mises à jour étaient bloquées!

:hello: aucune dll suspecte (s) sur les lignes 020 ?

Voici le dernier log de HijackThis : tout frais ! :wink:

Logfile of HijackThis v1.99.1
Scan saved at 21:09:43, on 25/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\D-Tools\daemon.exe
D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
D:\Program Files\MessengerPlus! 3\MsgPlus.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\NETGEAR\WG311v3\wlancfg5.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\windows media player\wmplayer.exe
E:\Mes Programmes\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\…\Run: [DAEMON Tools-1033] “D:\Program Files\D-Tools\daemon.exe” -lang 1033
O4 - HKLM\…\Run: [RemoteControl] “D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe”
O4 - HKLM\…\Run: [MessengerPlus3] “D:\Program Files\MessengerPlus! 3\MsgPlus.exe”
O4 - HKLM\…\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\…\Run: [msnmsgr] “D:\Program Files\MSN Messenger\MsnMsgr.Exe” /background
O4 - Startup: MSN Pictures Displayer.lnk = D:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
O4 - Startup: NETGEAR WG311v3 Wireless Assistant.lnk = D:\Program Files\NETGEAR\WG311v3\wlancfg5.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra ‘Tools’ menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - D:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse…pDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “D:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\j46m0ej1eho.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

D’après l’analyse du site http://www.hijackthis.de/ je ne possède rien de non souhaitable… :stuck_out_tongue:

Enorme Merci cmar !!
Ewido, avec son scan en ligne ma trouvé ca :


ewido security suite online scanner
http://www.ewido.net


Name: Spyware.Cookie.2o7
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@2o7[1].txt
Risk: Medium

Name: Spyware.Cookie.Adtech
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@adtech[2].txt
Risk: Medium

Name: Spyware.Cookie.Falkag
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@as1.falkag[1].txt
Risk: Medium

Name: Spyware.Cookie.Estat
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@estat[1].txt
Risk: Medium

Name: Spyware.Cookie.Questionmarket
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@questionmarket[1].txt
Risk: Medium

Name: Spyware.Cookie.Tradedoubler
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[2].txt
Risk: Medium

Name: Spyware.Cookie.Trafficmp
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@trafficmp[1].txt
Risk: Medium

Name: Spyware.Cookie.Weborama
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt
Risk: Medium

Name: Spyware.Cookie.Smartadserver
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@www.smartadserver[1].txt
Risk: Medium

Name: Spyware.UCmore
Path: HKU\S-1-5-21-436374069-583907252-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{44BE0690-5429-47F0-85BB-3FFD8020233E}
Risk: High

Name: Spyware.Look2Me
Path: [1460] C:\WINDOWS\system32\lzcalsec.dll
Risk: High

Name: Spyware.Look2Me
Path: [1892] C:\WINDOWS\system32\lzcalsec.dll
Risk: High

Name: Spyware.Cookie.Tradedoubler
Path: C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@tradedoubler[2].txt
Risk: Medium

Name: Spyware.Cookie.Trafficmp
Path: C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@trafficmp[2].txt
Risk: Medium

Name: Spyware.Cookie.Smartadserver
Path: C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@www.smartadserver[1].txt
Risk: Medium

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\aspmgr.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\c8002idmg80a2.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\dn0601dse.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\kpdfi.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\macat32.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\mdnetobj.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\mvdocs.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\mxisip.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\nrlanui2.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\wfvdmoe2.dll
Risk: High

C’est énorme, j’ai tout corriger avec le soft, je reboot et vous dit ce que cela donne. encore merci !
(Vous l’avez trouvez comment ewido :??: )

Bonne soirée

O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\j46m0ej1eho.dll<-- pas bon ça

en mode sans échec >> Ewido ( le télécharger cette fois-ci) /scan et sauvegarde de l’analyse - relancer hijack et fixer la ligne 020 - Relancer Hijack en mode normal et voir si l’entrée 020 persiste

Merci pour les idées : j’ai tout essayer… Même tuer les processus explorer.exe et rundll32 qui utilise les librairies infectées. Rien n’y fait ! :o

Je suis infecté par le spyware Look2me. Avec des recherches sur le Net j’ai constaté qu’il est l’un des plus coriace : énormément de problème pour le retirer. C’est mon cas. Quelqu’un a-t-il une derniere idée pour stopper mon agonie ? :frowning:

Je m’en doutais que la ligne 020 résisterait, en général si une dll infectée apparait ici, l’Hijack ne peut les corriger

1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

2) affiche les dossiers cachés (important)
Démarrer > Panneau de Configuration > Options des Dossiers >onglet Affichage > Dans la liste des “Paramètre avancés” sous la rubrique “Fichiers et dossiers cachés”
[activer] “Afficher les fichiers et dossiers cachés”
[désactiver] la case " Masquer les extensions des fichiers dont le type est connu"
[désactiver] la case “Masquer les fichiers protégés du système d’exploitation”

Analyser le fichier infecté sur Viruscan <coller dans la fenêtre en haut de la page et "Submit">>Patienter …
C:\WINDOWS\system32\j46m0ej1eho.dll

http://virusscan.jotti.org/

Copier/coller le résultat du scan ici

Ensuite selon le résultat donné, il faudra voir sur Eset>> menu déroulant et chercher s’il y a une antidote et l’exécuter
http://www.nod32.com/home/home.htm

>>Relancer Hijack pour vérif

Dans le cas contraire>> détruire la dll avec la KillBox (je te donne déjà la procédure au cas où)

d.load
http://www.bleepingcomputer.com/files/killbox.php

  • Ouvir le bloc-notes et copier/coller comme suit :
    C:\WINDOWS\system32\j46m0ej1eho.dll

  • Enregistrer/Nommer/>>raccourci sur le Bureau

  • Passer en mode sans échec

  • Ouvrir la Killbox

  • Copier dans la fenêtre le chemin complet noté dans le bloc-notes

  • Cocher la case "delete on reboot"

  • Cliquer sur la croix rouge

  • Répondre YES au 2 messages qui vont s’afficher

  • Exit/Fermer

voir screen de la Killbox - (ce screen concernait plusieurs dll à détruire, tu n’en as qu’1)
http://img487.imageshack.us/img487/9341/killboxscreen4xe.jpg

*Rester sous le mode sans échec

*Relancer Hijackthis -->" Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée (onglet Main)
*Fixed : O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\j46m0ej1eho.dll
Ferme Hijack

*Relancer Ewido/scan/sauvegarde

  • Ouvir l’Explorateur Wind
  • rechercher et supprimer (si encore présente) j46m0ej1eho.dll localisé dans System32

>>mode normal
>>Nettoyage complet (temp, corbeille, disque)
>>Refaire les Etapes 1) et 2) dans le sens inverse (important)

et nouveau log hijack pour vérif

Si c’est une infection plus coriace de Look2.me il n’y aura que LM2Fix a tenter (wait and see)

Bon courage :slight_smile:

Le virusscan de jotti me donne : “The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file”…
Ce n’est pas très bon signe je pense :grrr: En sachant que j’ai réessayer sans les protection anti virus et firewall.

Sinon, information utile : cette dll change tout le temps de nom. C’est toujours un mélange de chiffres et de lettre, toujours dans system32.

J’essaye la killbox :slight_smile:

  1. c’est exactement pour ça que le scan échoue
  2. même cause et effet
  3. j’ai bien peur que ça ne suffise pas

100% une infection Look2me avérée :paf:

Tu devrais relancer Hijack avant de lancer LM2Fix pour voir l’évolution de/des lignes 020 et le/les nom de la dll

J’ai exactement le même problème, cette dll qui change tout le temps de nom… je suis dessus depuis ce matin, j’arrive pas à la virer, apres avoir tenter un très grands nombre d’anti lourds…

Je suis étonné qu’un removal tool n’existe pas.

bon, si je l’ai choppé, c’est à mon avis car je suis resté un bon mois sans AV…

di nouveau sur ce probleme ? le thread c’est arrété.

:wink: avant de te lancer dans des manips compliquées, télécharge la version d’essai de Spy Sweeper et scanne ta machine

En reprenant tous les conseils de Western, ne pas oublier de bien vider les fichiers temp !

Et ensuite passer cet utilitaire -> http://www.f-secure.com/blacklight/

Et ensuite donner ce qu’il trouve … :wink:

OK, Merci, je vais essayer tout ça

J’ai fait Spybot, Hijack, ewido, avast, bitdefender, adaware et ça me vire des trucs, mais ça revient toujours.

je vous dirais si c ok ou non.

Wow, spysweeper a été très très efficace.

plus de problème !
pour info, c’était “ICANNNEWS” qui était mon gros problème.

[Prudence !! ] Télécharge et exécute Hijackthis pour bien t’assûrer qu’il ne reste aucun processus succeptibles de se répliquer au prochain redémarrage ou dans quelques jours :wink:

voir : Icannnews Websearch
Properties