Spyware ...... - je n'arrive pas à les dégager !

maiden123 · Décembre 7, 2005, 11:51

Salut,

je me leve ce matin (l’ordi à tourné toute la nuit), et la ô surprise: des fenêtres de boules (pour être polis) partout, des messages “your computer is infected” à la pelle !

Bref, attaque de spyware en règle … malgres l’antispyware microsoft mis à jour ! Faudra qu’on m’explique là déjà

Apres avoir tout viré rapidement ce qu’il y avait sur l’ecran, je lance l’antispy microsoft mais il ne trouve rien ! Alors je telecharge ‘spybot 1.4’, lance la mise à jour obligatoire mais il ne trouve rien non plus
Alors que j’ai ça sur l’ecran en permanence:
http://img231.imageshack.us/img231/5637/bureau7cc.jpg

Je dis ça car ça m’etonnerais que ce message soit microsoft approved … quand je click dessus, il m’ouvre une page internet mais rien ne s’affiche.

Please help, que dois-je utiliser ?

maiden123 · Décembre 7, 2005, 12:49

ya du nouveau: finalement, spybot m’a detecté pas mal de truc, mais certain n’ont pas été enlevés. Même apres un redemarrage et un scan complet de spybot, j’ai du enlever moi même des trucs dans la base de registre. J’ai redemarré ensuite, et j’espere ne pas avoir enlevé quelque chose de trop …

Et j’ai toujours ce message “your computer is infected” en bas à droite que je n’arrive pas à enlever !! Il me rend fou ce truc

ctrl-alt-suppr: http://img229.imageshack.us/img229/1907/cas5so.jpg
netstat -a: http://img229.imageshack.us/img229/6349/cmd5bh.jpg

A chaque fois que je refais un scan avec spybot, il me trouve des merdes !

strudll · Décembre 7, 2005, 12:56

install la version d evaluation de nod32 , et fait un scan avec les parametres a fond , il va te virer tous ça proprement

kyrnael_1_1 · Décembre 7, 2005, 1:26

un ptit log HijackThis ?

westernunion · Décembre 7, 2005, 1:41

Process File: mssearchnet or mssearchnet.exe
Process Name: Trojan.Zlob.D Trojan
http://www.liutilities.com/products/wintas…ry/mssearchnet/

très à la mode ce trojan, 5ème fois en 2 jours que je le vois

suspect : FTRTSVC.exe

maiden123 · Décembre 7, 2005, 4:04

Effectivement, c’est celui-là qui fout la merde
Pour le virer: http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Merci

westernunion · Décembre 7, 2005, 4:09

Ne crie pas victoire encore - quand tu auras exécuté le fix de S!Ri, tu as intérêt à faire un log Hijackthis 1.99.1 pour vérification

maiden123 · Décembre 7, 2005, 4:28

J’ai fais une verif’. Il me sort toute une liste.
Ya quelque chose de particulier à faire ou à voir ?

westernunion · Décembre 7, 2005, 4:50

copie/colle ton log ici
http://www.hijackthis.de/fr

attention! ne te fie pas à 100% à l’analyseur auto, vérifie les fichiers suspects signalés sur Google

si tu veux de l’aide copie/colle le log.txt ici

maiden123 · Décembre 7, 2005, 5:25

Bonne chance !

Logfile of HijackThis v1.99.1
Scan saved at 17:21:44, on 07/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Inventel\Gateway\WLANCFG.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Rar$EX00.359\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\…\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM\…\Run: [gcasServ] “C:\Program Files\Microsoft AntiSpyware\gcasServ.exe”
O8 - Extra context menu item: &Traduire à partir de l’anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download all by Free Download Manager - file://D:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://D:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://D:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://D:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe…nt.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/087b5cebd5b564…RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/…b?1120296093937
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe…nt.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\…\{032EA6BB-BBA1-4B03-A09F-21F852BCA86A}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\…\{9FBC49D2-4C0F-48BE-8568-D6CC3C5A5DDF}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

westernunion · Décembre 7, 2005, 5:41

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe <-- tu connais ? la recherche est mitigée sur ce programme - souvent associé avec Wanadoo, d’après mes recherches - certains le supprime et d’autres pas :neutre:

O4 - HKLM\…\Run: = programmes du démarrage - méfie-toi tu n’as plus ton AV et ton Firewall de présents - tu as les icônes dans le systray ?

j’ai oublié le principal, le log est clean :lol:

relance Hijack après un redémarrage pendant quelques jours pour surveiller

ne laisse pas Hijack enregistré comme ça - surtout dans Temp :paf:
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Rar$EX00.359\HijackThis.exe
Il faut créer un dossier alloué à la racine du disque : ex : C: \HijackThis\Hijackthis.exe

:hello:

maiden123 · Décembre 7, 2005, 6:00

Dans le systray je sais pas, mais en tout cas ils sont en bas à droite !
Dans ‘msconfig’, je n’ai que l’antivirus et l’antispy d’activé.

westernunion · Décembre 7, 2005, 6:53

ok bizarre qu’ils ne soient pas listés en 04, s’ils sont bien cochés dans msconfig

(systray = en bas à droite/à côté de l’horloge vi! )

Bon surf

maiden123 · Décembre 7, 2005, 8:02

Merci pour l’aide :hello:

maiden123 · Décembre 7, 2005, 8:05

J’oubliais: j’en fais quoi de celui là ?

westernunion · Décembre 7, 2005, 8:45

FTRTSVC.exe/France Telecom Routing Table Service, associé dans la plupart des logs à Wanadoo (le kit de connexion ?? ) - aucune idée précise :paf:

Regarde sur Google, tu n’as pas la moindre idée de son utilité ?