Virus qui s'enflamme

suduaya · Août 30, 2007, 5:46

j’ai deja fai un post il ya 3 jours, j’ai du mabsenter avant de réglé le probleme, j’ai limpression que ça c empiré, je vien de refaire un scan Hijak que voici,

Logfile of HijackThis v1.99.1
Scan saved at 18:02:33, on 30/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\PROGRA~1\Grisoft\AVG Free\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVG Free\avgupsvc.exe
D:\PROGRA~1\Grisoft\AVG Free\avgemc.exe
D:\WINDOWS\System32\FTRTSVC.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.exe
D:\WINDOWS\system32\printer.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
D:\PROGRA~1\Grisoft\AVG Free\avgcc.exe
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\Program Files\QuickTime\qttask.exe
D:\iTunes\iTunesHelper.exe
D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
D:\Program Files\MySpace\IM\MySpaceIM.exe
D:\Program Files\Skype\Phone\Skype.exe
D:\Program Files\iPod\bin\iPodService.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
D:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe
D:\PROGRA~1\Grisoft\AVG Free\avgw.exe
D:\PROGRA~1\Wanadoo\ComComp.exe
D:\PROGRA~1\Wanadoo\Toaster.exe
D:\PROGRA~1\Wanadoo\Inactivity.exe
D:\PROGRA~1\Wanadoo\PollingModule.exe
D:\WINDOWS\System32\AlertModule\AlertModule.exe
D:\Program Files\Skype\Plugin Manager\SkypePM.exe
D:\PROGRA~1\Wanadoo\Watch.exe
D:\Program Files\MSN Messenger\usnsvc.exe
D:\Program Files\MSN Messenger\livecall.exe
D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\Documents and Settings\ld\Bureau\DeltTray.exe
D:\WINDOWS\system32\DeltaPnl.EXE
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.fr…
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = www.google.fr…
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SearchPageURL.dll
F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\system32\printer.exe
O4 - HKLM…\Run: [RemoteControl] “D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe”
O4 - HKLM…\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM…\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM…\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVG Free\avgcc.exe /STARTUP
O4 - HKLM…\Run: [TkBellExe] “D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM…\Run: [QuickTime Task] “D:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [iTunesHelper] “D:\iTunes\iTunesHelper.exe”
O4 - HKLM…\Run: [SunJavaUpdateSched] “D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe”
O4 - HKLM…\Run: [M-Audio Taskbar Icon] D:\WINDOWS\System32\M-AudioTaskBarIcon.exe
O4 - HKLM…\Run: [avgnt] “D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe” /min
O4 - HKLM…\Run: [WinAVX] D:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU…\Run: [WOOKIT] D:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU…\Run: [Google Desktop Search] “D:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe” /startup
O4 - HKCU…\Run: [MySpaceIM] D:\Program Files\MySpace\IM\MySpaceIM.exe
O4 - HKCU…\Run: [Skype] “D:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized
O4 - HKCU…\Run: [msnmsgr] “D:\Program Files\MSN Messenger\MsnMsgr.Exe” /background
O4 - HKCU…\Run: [WinAVX] D:\WINDOWS\system32\WinAvXX.exe
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra ‘Tools’ menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - www.orange.fr… (file missing) (HKCU)
O15 - Trusted Zone: www.secuser.com…
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - www.bitdefender.fr…
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - a840.g.akamai.net…
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\Skype4COM.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG Free\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG Free\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG Free\avgemc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe

SpeedyBoo · Août 30, 2007, 11:09

Je voudrais surtout pas être désagréable mais de quoi est-il question ?
Quels sont les désagréments, les effets, les messages d’erreurs, les conséquences ?
En bref, quels sont les sympthomes ? Un log HijackThis ne fait pas tout…

Cordialement,

suduaya · Août 30, 2007, 11:18

oui dsl …
dès que j’allume mon ordi, une icone rouge “alerte de sécurité windows” m’indique dans une petite fenetre que aucun pare feu n’est activé; il ya également un triangle jaune qui m’envoie un message toute les 10 minutes en me disan k’il détecte un virus mais je ne clik pas dessus j’pense que c’est justement une saloperie

merci…

proximodu51 · Août 30, 2007, 11:59

Salut

Je suis loin d’etre un expert en log HijackThis, cependant on peut voir que deja tu as deux antivirus sur ton pc !
AVG et Antivir ! Premiere regle elementaire : n’installer qu’un seul antivirus sur son pc, sinon boujour l’instabilité !

Donc premierement desinstaller AVG Free correctement, et rescanner ton pc avec Antivir mis a jour !

Tes pseudo alertes d’infection sont probablement du a la presence d’un “rogue” sur ton pc, et faux utilitaire antispyware…donc premierement ne pas cliquer sur ces pseudos alertes, et passer un logiciel specialisé pour detecter les rogues
voir ici www.clubic.com…

Perso pour les desinfections offline, j’utilise le peu programme Cureit de Dr Web passé en mode sans echec !
Edité le 31/08/2007 à 00:01

snookette · Août 31, 2007, 2:24

Salut ,

tu es victime d’un " rogue " …

:arrow: Désinstalle AVG et AntiVir .

:arrow: Coche et fixe ces lignes avec Hijackthis :
O4 - HKLM…\Run: [WinAVX] D:\WINDOWS\system32\WinAvXX.exe
O4 - HKLM…\Run: [WinAVX] D:\WINDOWS\system32\WinAvXX.exe

:arrow: Passe Navilog1 , option 1 , puis tu relances Navilog1 et choisis alors l’option 2 .
Poste ce dernier rapport .
www.malekal.com…

:arrow: Passe ensuite SmitfraudFix , option 2 … poste également ce rapport .
siri.urz.free.fr…

:arrow: Installe ensuite ce fichier Hosts :
www.pcinpact.com…
Edité le 31/08/2007 à 02:25

suduaya · Août 31, 2007, 12:38

je vien de faire tou ça, exépté désinstalé antivir, la désinstal de antivir se trouve dans “windows control panel” je n’ai pa réussi a y accédé, je ne peu pa non plu accédé aux propriétés de l’ordi (quand je fai clik droi sur lordi pui propriété un panneau s’affiche et me di que je ne peu y accédé, appelé l’administrateur réseau)

voici mon rappor navilog

Search Navipromo version 2.0.9 commencé le 31/08/2007 à 12:23:09,98

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l’avis d’un spécialiste !!!

Fix lancé depuis D:\Program Files\navilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans D:\WINDOWS ***

*** Recherche dossiers dans D:\Program Files ***

*** Recherche dossiers dans D:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans D:\Documents and Settings\ld\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d’infos :
www.f-secure.com…

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 08/31/07 at 12:23:10.
[+] Initializing …
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items …
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 08/31/07 at 12:24:09 (return code = 0).

*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !

*** Recherche fichiers ***

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :
*
**

3)Recherche Certificats :

Certificat Egroup absent !

*** Analyse Terminé le 31/08/2007 à 12:24:15,20 ***

voici mon rapor smitfraudfix

SmitFraudFix v2.217

Rapport fait à 12:46:35,42, 31/08/2007
Executé à partir de D:\Program Files\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 www.avp.ch
192.168.200.3 www.avp.com
192.168.200.3 www.avp.ru
192.168.200.3 www.awaps.net
192.168.200.3 www.ca.com
192.168.200.3 www.f-secure.com
192.168.200.3 www.fastclick.net
192.168.200.3 www.grisoft.com
192.168.200.3 www.kaspersky-labs.com
192.168.200.3 www.kaspersky.com
192.168.200.3 www.kaspersky.ru
192.168.200.3 www.mcafee.com
192.168.200.3 www.my-etrust.com
192.168.200.3 www.nai.com
192.168.200.3 www.networkassociates.com
192.168.200.3 www.sophos.com
192.168.200.3 www.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 www.trendmicro.com
192.168.200.3 www.viruslist.com
192.168.200.3 www.viruslist.ru
192.168.200.3 www.virustotal.com
192.168.200.3 www3.ca.com

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

D:\WINDOWS\system32\vtr???.dll supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: SAGEM Wi-Fi 11g USB adapter - Miniport d’ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

Description: Realtek RTL8169/8110 Family Gigabit Ethernet NIC - Miniport d’ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip…{AE2E6115-4EA1-463F-BC06-8C351EC9F0B6}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip…{D079348B-A9CE-4A13-9566-6971F5DC89AA}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip…{AE2E6115-4EA1-463F-BC06-8C351EC9F0B6}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip…{D079348B-A9CE-4A13-9566-6971F5DC89AA}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip…{AE2E6115-4EA1-463F-BC06-8C351EC9F0B6}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip…{D079348B-A9CE-4A13-9566-6971F5DC89AA}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“System”=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

ordiclic · Août 31, 2007, 2:34

Punaise!!!
le rogue!!!
Passe un coup de rogue remover, et pas la peine de tenter un scan en ligne, l’accès a ces sites est interdit par le fichier hosts (C:/Windows/system32/drivers/etc) : ouvre ce fichier avec le bloc-notes (ou supprime-le directement mais c’est déconseillé) et édite-le en enlevant:

192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 www.avp.ch
192.168.200.3 www.avp.com
192.168.200.3 www.avp.ru
192.168.200.3 www.awaps.net
192.168.200.3 www.ca.com
192.168.200.3 www.f-secure.com
192.168.200.3 www.fastclick.net
192.168.200.3 www.grisoft.com
192.168.200.3 www.kaspersky-labs.com
192.168.200.3 www.kaspersky.com
192.168.200.3 www.kaspersky.ru
192.168.200.3 www.mcafee.com
192.168.200.3 www.my-etrust.com
192.168.200.3 www.nai.com
192.168.200.3 www.networkassociates.com
192.168.200.3 www.sophos.com
192.168.200.3 www.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 www.trendmicro.com
192.168.200.3 www.viruslist.com
192.168.200.3 www.viruslist.ru
192.168.200.3 www.virustotal.com
192.168.200.3 www3.ca.com

(toutes les lignes, quoi)

Puis télécharge rogue remover (logithèque clubic), fais deux scan avec nettoyage (le 2è scan sera une vérif) et donne-nous le résultat.
Edité le 31/08/2007 à 14:36

SpeedyBoo · Août 31, 2007, 2:45

C’est moi qui psychote ou les attaques sont de plus en plus nombreuses et brutales ?

Lorsque j’ai réinstallé mon PC je n’ai utilisé aucun logiciel autre que Windows pendant 15 minutes, je n’ai rien téléchargé, je n’ai même pas ouvert MSN… La première chose que j’ai faite c’est installer Kaspersky Internet Security depuis ma clé USB (saine) et j’ai lancé les scans complets d’usage lors de la première utilisation… Il m’a trouvé 5 Chevaux de Troie et divers choses pas très sympathiques, après seulement 15 minutes d’inutilisation totale et aucune action à risque…

Alors quand je vois ça, je plainds les gens qui se savent pas se protéger et qui font un peu n’importe quoi en prime… Ca craint…

ordiclic · Août 31, 2007, 4:20

Ouh la parano!!!
C’est l’AV qui a du voir le mouchard de WM ou un autre.
Ou windows est vérolé…

snookette · Août 31, 2007, 4:27

@ suduaya :

:arrow: Avec SmitrfraudFix, choisis l’option 3 .

:arrow: " Enregistrer la cible du lien sous … " ton bureau , puis clique droit sur le fichier enregistrer et choisis " Installer ")
snooky730.free.fr…

:arrow: Passe Ewido micro scan et supprime tout ce qu’il trouve :
snooky730.free.fr…

:arrow: Passe Clean v2.0 by FRUiT , procédure 1:
www.pcinpact.com…

:arrow: Redémarre le pc et poste un nouveau rapport Hijackthis.

++
Edité le 31/08/2007 à 16:33

ordiclic · Août 31, 2007, 4:29

A qui tu le demandes?
suduaya ou SpeedyBoo? :paf:

SpeedyBoo · Août 31, 2007, 4:40

Non rien de tout cela, j’ai viré les logs mais ce n’étaient pas des fausses alertes…
PS : WLM n’était encore pas installé…

[quote="ordiclic"] A qui tu le demandes? suduaya ou SpeedyBoo? :paf: [/quote]

Je suis assez grand pour régler mes problèmes :o

Les seules fois où je poste ici c’est pour des *@#£! qui m’arrivent dans mes pages web où des problèmes de mes voisins a qui il arrive des trucs… franchement pas drôle… (genre ça : www.clubic.com…)

A bientôt…
Edité le 31/08/2007 à 16:41

ordiclic · Août 31, 2007, 4:41

Dernière solution…
Comment une install de Windows fraîche et non encore modifiée aurait pu être à ce point touchée?

SpeedyBoo · Août 31, 2007, 4:54

Et bien par une connection internet active mais non utilisée… D’où mon constat : les bêbêtes sont de plus en plus agressives !

ordiclic · Août 31, 2007, 4:59

Pas possible!!
T’as pas de chance alors!
Perso, jamais eu de virus depuis que j’ai remplacé avast par nod32.

suduaya · Août 31, 2007, 5:34

voila je vien de passer par snooky730, ewido, et cleanv.2.0

voivi mon raport Hijak aprè avoir redémaré
(dsl je gère peut etre mal tout ça mais les ordis c’est pas ce qui m’est de + évident…)

Logfile of HijackThis v1.99.1
Scan saved at 17:49:30, on 31/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\System32\FTRTSVC.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\Program Files\QuickTime\qttask.exe
D:\iTunes\iTunesHelper.exe
D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\MySpace\IM\MySpaceIM.exe
D:\Program Files\Skype\Phone\Skype.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\iPod\bin\iPodService.exe
D:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
D:\PROGRA~1\Wanadoo\ComComp.exe
D:\PROGRA~1\Wanadoo\Toaster.exe
D:\PROGRA~1\Wanadoo\Inactivity.exe
D:\WINDOWS\system32\wuauclt.exe
D:\PROGRA~1\Wanadoo\PollingModule.exe
D:\WINDOWS\System32\AlertModule\AlertModule.exe
D:\PROGRA~1\Wanadoo\Watch.exe
D:\Program Files\Skype\Plugin Manager\SkypePM.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SearchPageURL.dll
O4 - HKLM…\Run: [RemoteControl] “D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe”
O4 - HKLM…\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM…\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM…\Run: [TkBellExe] “D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM…\Run: [QuickTime Task] “D:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [iTunesHelper] “D:\iTunes\iTunesHelper.exe”
O4 - HKLM…\Run: [SunJavaUpdateSched] “D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe”
O4 - HKLM…\Run: [M-Audio Taskbar Icon] D:\WINDOWS\System32\M-AudioTaskBarIcon.exe
O4 - HKLM…\Run: [avgnt] “D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe” /min
O4 - HKCU…\Run: [WOOKIT] D:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU…\Run: [Google Desktop Search] “D:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe” /startup
O4 - HKCU…\Run: [MySpaceIM] D:\Program Files\MySpace\IM\MySpaceIM.exe
O4 - HKCU…\Run: [Skype] “D:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized
O4 - HKCU…\Run: [msnmsgr] “D:\Program Files\MSN Messenger\MsnMsgr.Exe” /background
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra ‘Tools’ menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - www.orange.fr… (file missing) (HKCU)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\Skype4COM.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe

snookette · Août 31, 2007, 5:44

:arrow: Ewido micro scan a trouvé quelque chose , à part des cookies ?

:arrow: Coche et fixe ces lignes avec Hijackthis :

O4 - HKLM…\Run: [TkBellExe] “D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM…\Run: [QuickTime Task] “D:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [iTunesHelper] “D:\iTunes\iTunesHelper.exe”
O4 - HKLM…\Run: [SunJavaUpdateSched] “D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe”
O4 - HKLM…\Run: [M-Audio Taskbar Icon] D:\WINDOWS\System32\M-AudioTaskBarIcon.exe
O4 - HKLM…\Run: [avgnt] “D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe” /min
O4 - HKCU…\Run: [Google Desktop Search] “D:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe” /startup
O4 - HKCU…\Run: [MySpaceIM] D:\Program Files\MySpace\IM\MySpaceIM.exe
O4 - HKCU…\Run: [Skype] “D:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized
O4 - HKCU…\Run: [msnmsgr] “D:\Program Files\MSN Messenger\MsnMsgr.Exe” /background
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra ‘Tools’ menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe

:arrow: Services.msc à taper dans Exécuter , double clique sur ces services et arrêtes les et désactives les :
France Telecom Routing Table Service (FTRTSVC)
AntiVir PersonalEdition Classic Guard (AntiVirService)
AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler)

:arrow: Redémarre le pc .

:arrow: Désinstalle AVG et Antivir via ajout/suppr des programmes .

:arrow: Redémarre le pc et poste un nouveau rapport Hijackthis .

++
Edité le 31/08/2007 à 17:53

SpeedyBoo · Août 31, 2007, 6:12

A ce stade je n’avais rien pour me protéger… Au sein d’une architecture Modem -> Routeur -> 3 PC je pense qu’il ne faut pas que je m’étonne d’avoir été pris pour cible… Ce n’est qu’au bout des 10 minutes qu’il m’a fallu pour installer Kaspersky et le paramétrer que j’étais protégé… le mal était fait… !

ordiclic · Août 31, 2007, 9:48

Fallait pas se connecter!
Ou attendre un peu!

Il faut absolument passer [Rogue Remover](http://www.clubic.com/telecharger-fiche28630-rogueremover.html) qui nettoiera le rogue (programme-virus), puis modifier le fichier hosts, puis faire un scan en ligne

SpeedyBoo · Août 31, 2007, 9:50

Ah mais c’est au moment ou mon routeur s’était installé automatiquement (pendant l’install) que le problème est apparu je pense… car une fois le réseau installé, je débranche le cable Ethernet…

Vive Windoboes ! :pfff: